Redis’da xavfli zaiflik aniqlandi: Xakerlar serverni to‘xtatib qo‘yishi mumkin

Redis — bu ko‘plab dasturchilar va tizimlar tomonidan foydalaniladigan, tez ishlaydigan ochiq manbali ma’lumotlar bazasi. Ammo yaqinda Redis’da xavfli zaiflik aniqlandi — bu orqali xakerlar server xotirasini to‘ldirib, uni ishlamaydigan holatga keltirishlari mumkin.

Ushbu zaiflik CVE-2025-21605 deb nomlangan bo‘lib, unga 7.5 ballik xavf darajasi berilgan. U Redis’ning 2.6 versiyasidan boshlab barcha eski versiyalariga ta’sir qiladi.

Bu xatolik sababli, Redis foydalanuvchi so‘rovlariga yuboriladigan javoblarni saqlab boradigan bufer (output buffer) uchun chegarani belgilamaydi. Shuning uchun, kimdir Redis serverga to‘g‘ri parol kiritmasdan ko‘p marotaba so‘rov yuboraversa, har safar “NOAUTH” degan javoblar yig‘ilib boradi. Bu esa server xotirasini to‘ldirib yuboradi va natijada Redis ishlamay qoladi.

Zaiflik qanday ishlaydi?

  • Xaker parol kiritmasdan Redis’ga murojaat qiladi.
  • Har safar noto‘g‘ri so‘rov yuborilganda, Redis “parol kiritilmagan” deb javob beradi.
  • Bu javoblar server xotirasida yig‘ila boradi.
  • Xotira to‘lib ketgach, Redis server ishdan chiqadi (ya’ni DoS holati yuz beradi).
  • Eng xavflisi — bu xakerdan hech qanday parol yoki ruxsat talab etmaydi, faqat tarmoq orqali ulanish kifoya.

Bu zaiflik faqat internetga ochiq holda turuvchi Redis serverlarida muhim xavf tug‘diradi. Ichki tarmoqlarda to‘g‘ri sozlangan va xavfsizlik choralariga rioya qilingan Redis serverlari nisbatan xavfsiz hisoblanadi.

Qanday himoyalanish mumkin?

Agar Redis’ni yangilash imkoni bo‘lsa — albatta yangilang! Quyidagi versiyalardan boshlab ushbu xatolik tuzatilgan:

  • Redis OSS (oddiy versiyalar):
    • 7.4.3 va undan yuqori
    • 7.2.8 va undan yuqori
    • 6.2.18 va undan yuqori
  • Redis Stack:
    • 7.4.0-v4 va yuqori
    • 7.2.0-v16 va yuqori
    • 6.2.6-v20 va yuqori

Redis Cloud xizmatidan foydalanuvchilar esa xavotir olmasin — bu yerda allaqachon zaruriy yangilanishlar kiritilgan.

🔒 Yangilash imkoni yo‘q bo‘lsa nima qilamiz?

Quyidagi choralarni ko‘ring:

  1. Redis’ni internetga ochiq holda ishlatmang — faqat ichki tarmoqda ishlasin.
  2. Tarmoq kirish nazoratini sozlang — faqat kerakli IP manzillarga ruxsat bering.
  3. TLS’ni yoqing — ulanishlarni himoyalang.
  4. Output bufer hajmini cheklangclient-output-buffer-limit ni sozlang.
  5. Redis serverga ruxsatsiz foydalanuvchilar ulanmasligi uchun xavfsizlik devori (firewall) yoki iptables foydalaning.

Redis juda kuchli vosita bo‘lishiga qaramay, noto‘g‘ri sozlangan holatda xavf tug‘dirishi mumkin. Yangi aniqlangan bu zaiflik — bunga yaqqol misol. Redis’dan foydalansangiz, hoziroq serveringizni tekshiring, kerak bo‘lsa yangilang yoki xavfsizlik choralarini kuchaytiring.

🛡 Xotira tugashidan oldin — Redis’ni yangilab qo‘ying!