.png)
há 2 dias
2
ANUNCIE AQUI
Os mantenedores do banco de dados Redis (REmote DIctionary Server) anunciaram a publicação de uma versão atualizada do software, visando corrigir quatro vulnerabilidades de segurança descobertas pela equipe do Google Wiz. Uma delas é um “smuggling” de código classificada com o valor máximo de risco CVSS 10, exigindo atenção imediata dos gestores de TI. Ela está detalhada nas notas de lançamento da versão 8.2.2 e identificada como CVE-2025-49844. Permite que usuários registrados manipulem o coletor de lixo do sistema por meio de scripts LUA especialmente elaborados. Tal manipulação pode levar a uma situação de “use-after-free”, possibilitando a execução de código malicioso diretamente da rede. Adicionalmente, scripts LUA preparados podem induzir um “integer overflow”, resultando na execução de código injetado pela internet (CVE-2025-46817, CVSS 7.0, risco “alto”).
Leia também
Nova variante de criptojacking visa servidores Apache, Oracle e Redis
Google compra a startup Wiz por US$ 32 Bi
Outras vulnerabilidades, embora de menor gravidade, também foram corrigidas. Scripts LUA podem ser explorados para obter acesso de leitura fora das áreas de memória designadas ou provocar a interrupção do servidor, causando uma negação de serviço (CVE-2025-46819, CVSS 6.3, risco “médio”). Há ainda a possibilidade de manipulação de outros objetos LUA, permitindo a execução de código próprio no contexto de outros usuários (CVE-2025-46818, CVSS 6, risco “médio”).
Em eventos como o Pwn2Own em Berlim, pesquisadores já haviam identificado e demonstrado falhas de segurança no Redis, sublinhando a importância da vigilância.
Diante do cenário, é imperativo que os administradores de sistemas atualizem imediatamente suas instâncias do Redis para a versão 8.2.2 ou superior. A versão mais recente do software de código aberto já está disponível em código-fonte no Github. Embora se preveja que as distribuições Linux liberem pacotes atualizados em breve, algumas, como a Red Hat, recomendam temporariamente restringir o acesso ao servidor a máquinas confiáveis na ausência de um pacote de atualização imediato.
Portuguese (BR) ·