<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Mar 13, 2021, 17:06 Peter Korsgaard <<a href="mailto:peter@korsgaard.com">peter@korsgaard.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">>>>>> "Thomas" == Thomas De Schampheleire <<a href="mailto:patrickdepinguin@gmail.com" target="_blank" rel="noreferrer">patrickdepinguin@gmail.com</a>> writes:<br>
<br>
 > From: Thomas De Schampheleire <<a href="mailto:thomas.de_schampheleire@nokia.com" target="_blank" rel="noreferrer">thomas.de_schampheleire@nokia.com</a>><br>
 > References:<br>
 > <a href="https://github.com/redis/redis/security/advisories/GHSA-hgj8-vff2-7cjf" rel="noreferrer noreferrer" target="_blank">https://github.com/redis/redis/security/advisories/GHSA-hgj8-vff2-7cjf</a><br>
 > <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-21309" rel="noreferrer noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2021-21309</a><br>
<br>
 > "Impact:<br>
<br>
 >     An integer overflow bug in 32-bit Redis version 4.0 or newer could be<br>
 >     exploited to corrupt the heap and potentially result with remote code<br>
 >     execution.<br>
<br>
 >     Redis 4.0 or newer uses a configurable limit for the maximum supported<br>
 >     bulk input size. By default, it is 512MB which is a safe value for all<br>
 >     platforms.<br>
<br>
 >     If the limit is significantly increased, receiving a large request from<br>
 >     a client may trigger several integer overflow scenarios, which would<br>
 >     result with buffer overflow and heap corruption. We believe this could<br>
 >     in certain conditions be exploited for remote code execution.<br>
<br>
 >     By default, authenticated Redis users have access to all configuration<br>
 >     parameters and can therefore use the “CONFIG SET proto-max-bulk-len” to<br>
 >     change the safe default, making the system vulnerable.<br>
<br>
 >     This problem only affects 32-bit Redis (on a 32-bit system, or as a<br>
 >     32-bit executable running on a 64-bit system).<br>
<br>
 > Patches<br>
<br>
 >     The problem is fixed in version 6.2, and the fix is back ported to<br>
 >     6.0.11 and 5.0.11. Make sure you use one of these versions if you're<br>
 >     running 32-bit Redis.<br>
 > "<br>
<br>
 > Signed-off-by: Thomas De Schampheleire <<a href="mailto:thomas.de_schampheleire@nokia.com" target="_blank" rel="noreferrer">thomas.de_schampheleire@nokia.com</a>><br>
 > ---<br>
<br>
 > NOTE: this only applies to 2020.02.x.<br>
 > - For 2020.11.x a bump to 6.0.11 or later is needed (e.g. backport commit cbd5f7e3a9331).<br>
 > - For 2021.02, 6.0.12 is used which already contains the fix.<br>
<br>
Committed to 2020.02.x after updating to 5.0.12 as pointed out by<br>
Titouan, thanks.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Thanks Peter and Titouan, and sorry for not having responded yet!</div><div dir="auto"><br></div><div dir="auto">Best regards</div><div dir="auto">Thomas</div></div>