◆概要
2022 年 1 月に、データベースソフトウェアである Redis に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。攻撃者が脆弱性の悪用に成功した場合は、Redis が稼働しているサーバへの侵入が可能となります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
本脆弱性は Redis の中でも Debian または Ubuntu 向けのパッケージにのみ存在する脆弱性です。Redis の Lua スクリプティング機能が使用できるユーザであれば容易に悪用可能な脆弱性であるため、Debian または Ubuntu を用いて Redis サーバを利用している場合は早急に対策してください。
◆深刻度(CVSS)
10.0
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2022-0543&vector=AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Redis のバージョン 4 より新しく 6.1 より古いもののうち、以下のバージョンの Debian または Ubuntu 向けのパッケージが影響を受けます。
+ Debian
- Debian 9.0
- Debian 10.0
- Debian 11.0
+ Ubuntu
- Ubuntu 20.04 LTS
- Ubuntu 21.10
◆解説
NoSQL データベースソフトウェアである Redis に、遠隔からの任意のコード実行に悪用可能な脆弱性が報告されています。
Redis の Lua スクリプティング機能におけるサンドボックス機構が回避可能となる脆弱性(Scan Tech Report)
2022 年 1 月に、データベースソフトウェアである Redis に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性と脅威
関連リンク
編集部おすすめの記事
特集
Scan Tech Report
-
Microsoft Windows OS における Winsock でのデータ検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
2023 年 1 月に、Microsoft Windows OS に SYSTEM 権限への昇格…
-
Joomla! における Web コンテンツのアクセス制御不備に起因する情報漏えいの脆弱性(Scan Tech Report)
-
pfSense における設定情報の検証不備に起因する OS コマンドインジェクションの脆弱性(Scan Tech Report)
-
ImageMagick において PNG 画像処理中の profile 情報の検証不備により任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)
-
Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)
-
Microsoft Windows における Backup Service での一時ファイルの検証不備による任意のファイルが削除可能となる脆弱性(Scan Tech Report)
-
sudo に環境変数の検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
-
Zoho 社の複数のソフトウェアにおいて古いバージョンの Apache Santuario の使用に起因する遠隔コード実行の脆弱性(Scan Tech Report)
株式会社ラック(LAC)
-
セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT…
-
Starlette にディレクトリトラバーサルの脆弱性
-
Tornado にオープンリダイレクトの脆弱性
-
Microsoft Windows OS における Winsock でのデータ検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
-
Joomla! における Web コンテンツのアクセス制御不備に起因する情報漏えいの脆弱性(Scan Tech Report)
-
pfSense における設定情報の検証不備に起因する OS コマンドインジェクションの脆弱性(Scan Tech Report)
-
ImageMagick において PNG 画像処理中の profile 情報の検証不備により任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)
-
Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
-
割のいいリゾートバイト求人 その実態は暗号資産詐欺の奴隷労働:FBI 注意勧告
捜査では銃 4 丁、デスクトップコンピューター 804 台、ラッ…
-
クレムリンへ DDoS攻撃 露技術者 流刑
-
サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕
-
今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか
-
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
-
BCPにおける究極の自然災害 発生確率
-
Microsoft Windows OS における Winsock でのデータ検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
-
お粗末な暗号化の仕事ぶり ランサムウェアの身代金払うもデータ破損多し
Scan PREMIUM 倶楽部
-
割のいいリゾートバイト求人 その実態は暗号資産詐欺の奴隷労働:FBI 注意勧告
捜査では銃 4 丁、デスクトップコンピューター 804 台、ラッ…
-
クレムリンへ DDoS攻撃 露技術者 流刑
-
サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕
-
今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか
-
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
-
BCPにおける究極の自然災害 発生確率
-
Microsoft Windows OS における Winsock でのデータ検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
-
お粗末な暗号化の仕事ぶり ランサムウェアの身代金払うもデータ破損多し
脆弱性と脅威 アクセスランキング
-
WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性
-
セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称
-
サポート詐欺や三菱UFJ銀行を騙るフィッシングメールに注意を呼びかけ
-
中間者攻撃や盗聴など ~ ネットカフェ「自遊空間」のクーポンアプリにサーバ証明書検証不備の脆弱性
-
OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題
-
OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性
-
YouTuber狙うフィッシングを確認、オファーを装いアカウントを乗っ取る
-
Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」
-
Emotetが3月7日再開、500MB超のWordファイル添付し検知回避
-
セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性
