CVE

Vulnerabilidad en Redis (CVE-2023-45145)

Severidad:

BAJA

Type:

No Disponible / Otro tipo

Fecha de publicación:

18/10/2023

Última modificación:

21/01/2024

Descripción

Redis es una base de datos en memoria que persiste en el disco. Al iniciarse, Redis comienza a escuchar en un socket Unix antes de ajustar sus permisos a la configuración proporcionada por el usuario. Si se utiliza una umask(2) permisiva, esto crea una condición de ejecución que permite, durante un corto período de tiempo, que otro proceso establezca una conexión que de otro modo no estaría autorizada. Este problema existe desde Redis 2.6.0-RC1. Este problema se solucionó en las versiones 7.2.2, 7.0.14 y 6.2.14 de Redis. Se recomienda a los usuarios que actualicen. Para los usuarios que no pueden actualizar, es posible workaround el problema deshabilitando los sockets Unix, iniciando Redis con una máscara de usuario restrictiva o almacenando el archivo del socket Unix en un directorio protegido.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.60 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.60

Severidad 3.x

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:redis:redis::::::::	2.6.0 (incluyendo)	6.2.14 (excluyendo)
cpe:2.3:a:redis:redis::::::::	7.0.0 (incluyendo)	7.0.14 (excluyendo)
cpe:2.3:a:redis:redis::::::::	7.2.0 (incluyendo)	7.2.2 (excluyendo)
cpe:2.3:a:redis:redis:2.6.0:rc1::::::
cpe:2.3:o:fedoraproject:fedora:37:::::::*
cpe:2.3:o:fedoraproject:fedora:38:::::::*
cpe:2.3:o:fedoraproject:fedora:39:::::::*
cpe:2.3:o:debian:debian_linux:10.0:::::::*