Обнаружена опасная уязвимость в Redis: Хакеры могут вывести сервер из строя

Redis — это высокопроизводительная база данных с открытым исходным кодом, широко используемая разработчиками и системами. Однако недавно в Redis была обнаружена серьёзная уязвимость, которая позволяет хакерам заполнить память сервера, приводя его в неработоспособное состояние.

Эта уязвимость, обозначенная как CVE-2025-21605, получила оценку опасности 7.5 баллов. Она затрагивает все старые версии Redis, начиная с версии 2.6.

Проблема связана с тем, что Redis не устанавливает ограничение на размер выходного буфера (output buffer), используемого для хранения ответов на запросы пользователей. Если злоумышленник многократно отправляет запросы на сервер Redis без ввода правильного пароля, каждый раз накапливаются ответы «NOAUTH». Это приводит к переполнению памяти сервера, в результате чего Redis перестаёт работать.

Как работает уязвимость?

  1. Хакер обращается к Redis без ввода пароля.
  2. На каждый некорректный запрос Redis отвечает сообщением «пароль не введён».
  3. Эти ответы накапливаются в памяти сервера.
  4. Когда память переполняется, сервер Redis выходит из строя (происходит DoS — отказ в обслуживании).

Самое опасное — для эксплуатации уязвимости не требуется пароль или авторизация, достаточно лишь сетевого подключения.

Эта уязвимость представляет серьёзную угрозу только для серверов Redis, которые находятся в открытом доступе в интернете. Серверы, правильно настроенные и работающие во внутренних сетях с соблюдением мер безопасности, относительно защищены.

Как защититься?

Если есть возможность обновить Redis, сделайте это немедленно! Уязвимость устранена в следующих версиях:

Redis OSS (стандартные версии):

  • 7.4.3 и выше
  • 7.2.8 и выше
  • 6.2.18 и выше

Redis Stack:

  • 7.4.0-v4 и выше
  • 7.2.0-v16 и выше
  • 6.2.6-v20 и выше

Пользователи сервиса Redis Cloud могут не беспокоиться — необходимые обновления уже внедрены.

🔒 Что делать, если обновление невозможно?

Примите следующие меры:

  1. Не используйте Redis в открытом доступе в интернете — работайте только во внутренней сети.
  2. Настройте контроль сетевого доступа — разрешайте подключение только с определённых IP-адресов.
  3. Включите TLS для защиты соединений.
  4. Ограничьте размер выходного буфера — настройте параметр client-output-buffer-limit.
  5. Используйте брандмауэр (firewall) или iptables, чтобы предотвратить подключение неавторизованных пользователей к серверу Redis.

Redis — мощный инструмент, но при неправильной настройке он может стать уязвимым. Обнаруженная уязвимость — яркий тому пример. Если вы используете Redis, немедленно проверьте свой сервер, обновите его при необходимости или усилите меры безопасности.

🛡 Обновите Redis, пока не исчерпалась память!