Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Echtzeit-Datenbank: Redis warnt vor kritischer Lücke in Tausenden Instanzen

Die Schwachstelle in der Redis- Datenbank erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne auf einem Redis-Host.
/ Stefan Beiersmann
Kommentare News folgen (öffnet im neuen Fenster)
Eine kritische Sicherheitslücke bedroht Nutzer von Redis-Datenbanken. (Bild: pixabay.com / TheDigitalArtist)
Eine kritische Sicherheitslücke bedroht Nutzer von Redis-Datenbanken. Bild: pixabay.com / TheDigitalArtist

Redis, Entwickler der gleichnamigen Open-Source-Datenbank, hat ein Sicherheitsupdate veröffentlicht(öffnet im neuen Fenster) . Es soll ein kritisches Loch in der Redis-Datenbank stopfen, das Angreifern das Einschleusen und Ausführen von Schadcode aus der Ferne erlaubt. Betroffen sind offenbar Tausende Redis-Instanzen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Angular Developer (m/w/d) mit Frontend Fokus PX Consulting GmbH, Homeoffice,Home Office (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Zahntechniker für Verblendkeramik, CAD/CAM (m/w/d) Dr. Bernd Kilimann und Kollegen, Haigerloch (öffnet im neuen Fenster)
Business Intelligence Developer (m/w/d) Berlin Recycling GmbH, Berlin (öffnet im neuen Fenster)
SAS-Anwendungsentwickler (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Software-Architekt (C / C++ / VxWorks / Linux) (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
Application Manager:in für innovative Lösungen im Schienenverkehr gesucht! (w/m/d) BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg (öffnet im neuen Fenster)
Business Intelligence Entwickler (m/w/d) Schauinsland-Reisen GmbH, Duisburg (öffnet im neuen Fenster)

Die Schwachstelle basiert laut einem Bericht von Bleeping Computer(öffnet im neuen Fenster) auf einem 13 Jahren alten Use-after-Free-Bug im Redis-Quellcode. Sie lässt sich mit einem speziell gestalteten Lua-Skript ausnutzen – einer Funktion, die ab Werk aktiviert ist. Allerdings kann die Lücke nur durch einen authentifizierten Nutzer missbraucht werden.

Bei einem erfolgreichen Angriff auf CVE-2025-49844(öffnet im neuen Fenster) kann Code außerhalb der Lua-Sandbox ausgeführt werden. Zudem soll es möglich sein, eine Reverse Shell für einen dauerhaften Zugriff einzurichten, um beliebigen Code auf einem Redis-Host auszuführen.

Schwachstelle ist seit Mai bekannt

Ein Host, der so unter die Kontrolle von Unbefugten gerät, ist anfällig für den Diebstahl vertraulicher Daten, die Installation von Malware oder auch Krypto-Mining-Tools. Zudem könnten Angreifer weitere Systeme infiltrieren oder im Redis-System gestohlene Anmeldedaten verwenden, um Zugang zu anderen Clouddiensten zu erhalten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Entdeckt wurde der Fehler bereits im Mai während des Hackerwettbewerbs Pwn2Own Berlin von Forschern des Sicherheitsanbieters Wiz. Wiz fand rund 330.000 über das Internet zugängliche Redis-Instanzen, von denen mindestens 60.000 keine Authentifizierung forderten – also direkt angreifbar sind.

Auch Redis OSS/CE/Stack betroffen

Betroffen sind laut Redis alle Redis-Software-Versionen ab 6.4.2-131, 7.2.4-138, 7.4.6-272, 7.8.6-207 und 7.22.2-12. Zudem ist der Redis OSS/CE/Stack mit aktivem Lua-Skripting in den Versionen 7.2.0-v19, 7.2.11, 7.4.0-v7, 7.4.6, 8.0.4, 8.2.2 und höher angreifbar.

Kunden, die den Patch derzeit nicht installieren können, sollten die Authentifizierung aktivieren und Lua-Skripting sowie andere nicht benötigte Funktionen abschalten, um sich vor den Folgen von Angriffen auf die kritische Sicherheitslücke zu schützen. Zudem sollten Zugriffe auf autorisierte Netzwerke beschränkt und Zugangskontrollen über Firewalls oder Virtual Private Clouds eingerichtet werden.

Zur Startseite Kommentare

Relevante Themen

SoftwareCloudUnternehmenssoftwareSecuritySicherheitslückeDatensicherheitServer-Applikationen