Alarm? Redis-Sicherheitslücke
-
Meist sind die iobroker (und damit auch redis) ja aus dem Internet nicht erreichbar... außerdem:
... Allerdings kann die Lücke nur durch einen authentifizierten Nutzer missbraucht werden.
Bei einem erfolgreichen Angriff auf CVE-2025-49844
kann Code außerhalb der Lua-Sandbox ausgeführt werden. Zudem soll es möglich sein, eine Reverse Shell für einen dauerhaften Zugriff einzurichten, um beliebigen Code auf einem Redis-Host auszuführen.Trotzdem: Ein schwaches oder gar kein Redis Password und ein infiltriertes China-Cloud iOT Gerät als erstes Einfallstor, und ein Angreifer kann auch das Linux-System auf dem Redis und ggs. iobroker arbeiten übernehmen)
-
@martinp
Sehr gut, solche Beispiele sensibilisieren die User.
Daher Redis nur in einem User und nicht als Root laufen lassen.
Noch besser in einem docker Container kapseln, weil wer dann mal im Redis drin ist muss als Nächstes erst mal wieder aus dem Container ausbrechen.
Redis in einem Container werden uU durch andere Geräte nicht gesehen, da sie nur in einem gekapselten virtuellem Netzwerk laufen wo nur die Dienste Redis sehen dürfen die Redis auch benötigen.
