Cụ thể, lỗ hổng đầu tiên với mã định danh CVE-2024-51741 cho phép kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ (DoS). Lỗ hổng thứ hai được gán mã CVE-2024-46981 có thể cho phép thực thi mã từ xa.
Theo đó, lỗ hổng CVE-2024-51741 có điểm CVSS 4,4 tồn tại trong các phiên bản Redis 7.0.0 trở lên. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách tạo bộ lọc ACL sai định dạng khiến máy chủ gặp sự cố và gián đoạn dịch vụ.
Trong khi đó, lỗ hổng CVE-2024-46981 có điểm CVSS 7,0 gây ra mối đe dọa lớn hơn, vì nó có thể cho phép kẻ tấn công thực thi mã từ xa trên máy chủ. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Redis có bật tính năng tập lệnh Lua. Kẻ tấn công có thể tạo một tập lệnh Lua đặc biệt để thao túng trình Garbage collector của Redis, từ đó thực thi mã từ xa trên máy chủ mà không cần truy cập trực tiếp vào hệ thống.
Người dùng Redis được khuyến cáo cập nhật ngay lập tức các phiên bản Redis. Lỗ hổng CVE-2024-51741 đã được vá trong các phiên bản 7.2.7 và 7.4.2. Lỗ hổng CVE-2024-46981 đã được vá trong các phiên bản 6.2.x, 7.2.x và 7.4.x. Ngoài ra, một giải pháp tạm thời khác để có thể ngăn chặn rủi ro mà CVE-2024-46981 gây ra là người dùng có thể tắt tính năng Lua scripting bằng cách hạn chế các lệnh EVAL và EVALSHA thông qua ACL.
M.H
09:00 | 08/01/2025
10:00 | 31/12/2024
15:00 | 02/01/2025
11:00 | 11/03/2025
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
09:00 | 10/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
10:00 | 09/12/2024
Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
