【安全公告:UTSA-2022-000377】-【CVE-2022-24736】

公告编号:作者:USRC发布日期:2022/09/02

【统信安全公告:UTSA-2022-000377】-【CVE-2022-24736】


一、漏洞描述

Redis is an in-memory database that persists on disk. Prior to versions 6.2.7 and 7.0.0, an attacker attempting to load a specially crafted Lua script can cause NULL pointer dereference which will result with a crash of the redis-server process. The problem is fixed in Redis versions 7.0.0 and 6.2.7. An additional workaround to mitigate this problem without patching the redis-server executable, if Lua scripting is not being used, is to block access to `SCRIPT LOAD` and `EVAL` commands using ACL rules.

 

二、漏洞信息

漏洞编号:CVE-2022-24736

软件包名:redis6

漏洞评级:中危

CVSS3.1评分:5.5

 

三、受影响UOS版本

服务器1050e、服务器1021e、服务器1020e

 

四、漏洞检测

检测方法如下:

                通过yum info Packagename查看包的版本信息

结果如下:

                - 版本<6.2.7-1.uel20受此漏洞影响,版本>=6.2.7-1.uel20此漏洞已修复

 

五、修复建议

                - 更新源后,使用yum install Packagename安装升级

 

六、修复状态

此漏洞补丁已于2022年8月17日推送至外网仓库源

 

七、修复验证

查看redis6的版本>=6.2.7-1.uel20,说明此漏洞已修复

 

八、相关链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24736

https://nvd.nist.gov/vuln/detail/CVE-2022-24736