Debian-specific Redis Servers

Die Schwachstelle betrifft Redis, eine schnelle Datenbank, die Daten als Schlüssel-Wert-Paare ablegt und dauerhaft speichert. Betroffen sind dabei nicht alle Installationen, sondern speziell die für Debian zugeschnittenen Server-Pakete: Ursache ist ein Fehler in der Art und Weise, wie Redis dort paketiert wurde. Dadurch lässt sich die sogenannte Lua-Sandbox umgehen – jene Schutzumgebung, die eingebettete Lua-Skripte eigentlich vom übrigen System abschotten soll. Gelingt einem Angreifer dieser Ausbruch aus der Sandbox, kann er aus dem isolierten Skriptbereich heraus auf das zugrunde liegende System zugreifen und dort eigenen Code ausführen (Remote Code Execution). Betroffen sind Betreiber, die Redis aus den Debian-spezifischen Paketen einsetzen; Installationen aus anderen Quellen sind von diesem paketierungsbedingten Defekt nicht in derselben Weise betroffen.