リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、af8d043f-20df-11f0-b9c5-000c295725e4 のアドバイザリに記載されている脆弱性の影響を受けます。

    Axel Mirczuk 氏による報告

                デフォルトでは、Redis設定は通常のクライアントの出力バッファを制限しませんclient-output-buffer-limitを参照してください。したがって、出力バッファは時間とともに無制限に増大する可能性があります。結果として、サービスは枯渇し、メモリは使用できなくなります。


                Redisサーバーでパスワード認証が有効になっているがパスワードが指定されていない場合、クライアントはシステムがメモリを使い果たすまで、NOAUTH応答から出力バッファを増大させる可能性があります。


Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

FreeBSDredis,valkey -- 認証されていないクライアントによって悪用される出力バッファの無制限に拡大することによる DoS 脆弱性af8d043f-20df-11f0-b9c5-000c295725e4

high Nessus プラグイン ID 234819