Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Redis incluye soporte para scripting en Lua, lo cual permite extender sus funciones internas mediante scripts. En versiones de Redis con soporte para Lua scripting (anteriores a 8.2.2), un usuario con credenciales puede aprovechar un script malicioso que manipula el recolector de basura (garbage collector), desencadenar use-after-free de memoria y finalmente ejecutar código arbitrario en el servidor host, escapando del entorno seguro (sandbox).
Recursos afectados
- Instancias de Redis con Lua scripting habilitado, versiones anteriores a 8.2.2
- Entornos de Redis OSS / CE / Stack / Software que aún no han aplicado el parche correspondiente.
Solución
Actualizar Redis a la versión 8.2.2 o superior, donde este fallo ha sido corregido.
Recomendaciones
- Si no puedes actualizar inmediatamente, restringir el uso de comandos de scripting Lua (EVAL, EVALSHA) mediante ACLs para evitar su ejecución.
- Asegurar que la instancia de Redis no esté expuesta públicamente a redes no confiables.
- Habilitar autenticación fuerte para Redis y evitar configuraciones por defecto que permitan acceso sin contraseña.
- Ejecutar Redis bajo un usuario con privilegios mínimos, no como root.
- Monitorear logs, detectar ejecuciones inusuales de comandos Lua o fallos inesperados del servidor.
- Aplicar segmentación de red o políticas de firewall para limitar el acceso solo a hosts de confianza.
Referencias