En nyligt opdaget sikkerhedsfejl i Redis, sporet som CVE-2025-49844, har fået den højeste alvorlighedsvurdering. Sårbarheden gør det muligt at udføre fjernkode via Redis’ indbyggede Lua-skriptsystem. Redis opfordrer nu alle administratorer til straks at opdatere deres systemer.
Sådan fungerer sårbarheden
Fejlen skyldes en use-after-free-fejl i Redis’ Lua-motor. Angribere, der kan køre Lua-scripts, kan udnytte fejlen til at forårsage hukommelseskorruption og bryde ud af sandkassen. Det giver dem mulighed for at køre vilkårlig kode på værtsserveren, installere malware eller stjæle følsomme data.
Sikkerhedsforskere afslører, at fejlen har eksisteret i over 13 år og påvirker alle Redis-versioner med Lua-scripting aktiveret. Det gør sårbarheden til en af de mest omfattende i platformens historie.
Omfanget af eksponering
Redis er fortsat en af de mest anvendte in-memory-databaser i cloudmiljøer verden over. Analytikere hos Wiz har identificeret over 330.000 eksponerede Redis-instancer, hvoraf omkring 60.000 helt mangler godkendelse. Mange af disse servere bruges aktivt i produktionsmiljøer, hvilket skaber en enorm angrebsflade.
Sårbarheden har fået en CVSS-score på 10.0, hvilket afspejler dens kritiske risikoniveau. Uopdaterede servere er sårbare over for fuld systemkompromittering, datatyveri og lateral bevægelse inden for netværk.
Anbefalede sikkerhedsforanstaltninger
Administratorer bør straks tage skridt til at sikre deres Redis-installationer:
- Opdater til den nyeste version med sikkerhedsrettelser.
- Aktivér godkendelse på alle instanser.
- Deaktivér Lua-scripting, hvis det ikke er nødvendigt.
- Kør Redis som en bruger uden root-rettigheder for at minimere potentielle skader.
- Begræns netværksadgang og overvåg logfiler for mistænkelig aktivitet.
Disse tiltag reducerer risikoen for udnyttelse betydeligt, mens brugerne implementerer den officielle opdatering fra Redis.
Konklusion
Sårbarheden CVE-2025-49844 viser, hvordan ældre kode kan udgøre alvorlige trusler, når den overses. Med hundredtusindvis af eksponerede instanser er hurtig patching og streng konfiguration afgørende for at forhindre omfattende angreb og databrud.
0 svar til “Redis-sårbarhed CVE-2025-49844 truer global infrastruktur”