Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kritische Schwachstelle in Redis-Servern

- Warnmeldung

Für eine kritische Sicherheitslücke in Redis-Servern steht ein Update zur Verfügung. Betreibende sollten rasch auf eine sicherere Version aktualisieren. Dies teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit.
Bild zeigt Remote Code Execution - Vulnerability Target

© Adobe Stock

RCE-Angriff möglich

Laut BSI können Angreifende mit entsprechend präparierten Lua-Skripten Schad-Code einschleusen und ausführen (RCE: Remote Code Execution). Zudem sollen (Zugangs-)Daten entwendet werden können, wodurch eine weitere Ausbreitung im System mögliche wäre. Zwar müssen sich Angreifende theoretisch authentifizieren, jedoch liefert der Hersteller die Funktion standardmäßig ohne Authentifizierung aus. Wenn dieser Sicherheitsmechanismus nicht aktiv eingeschaltet wurde, bestand bereits in den vergangenen Monaten die Gefahr für Cyber-Angriffe. Laut BSI sind alleine in Deutschland etwa 4.000 Redis-Server ohne Authentifizierung aus dem Internet erreichbar. Aufgrund der relativ geringen Angriffskomplexität und der weiten Verbreitung des Produkts ist mit ersten Angriffsversuchen zu rechnen.

Betroffen sind alle Redis-Versionen mit Lua-Scripting. Der für die Schwachstelle relevante Quellcode ist bereits seit 2012 Teil der Anwendung. Die Schwachstelle besitzt die Kennung CVE-2025-49844 (EUVD-2025-32326) mit einem CVSS-Base-Score von 9.9/10.

Redis ist eine Caching- und Datenbanklösung. Redis speichert Daten im Hauptspeicher und nicht auf der Festplatte. Dies ermöglicht sehr kurze Antwortzeiten. Redis steht für (Remote dictionary server).

Empfehlungen

Um CVE-2025-49844 zu beheben, aktualisieren Sie Redis auf eine der folgenden gepatchten Versionen:

  • 7.22.2-12 und höher
  • 7.8.6-207 und höher
  • 7.4.6-272 und höher
  • 7.2.4-138 und höher
  • 6.4.2-131 und höher

Für Redis OSS/CE/Stack Releases mit Lua-Scripting:

  • OSS/CE:
    • 8.2.2 und höher
    • 8.0.4 und höher
    • 7.4.6 und höher
    • 7.2.11 und höher
  • Stack:
    • 7.4.0-v7 und höher
    • 7.2.0-v19 und höher

Wenn Sie Redis nicht aktualisieren, ziehen Sie in Betracht, die Ausführung von Lua-Skripten generell oder für bestimmte Nutzer zu unterbinden.

Beachten Sie zusätzlich die folgenden Hinweise:

  • Prüfen Sie Redis auf allgemeine Anzeichen für eine Kompromittierung (siehe den unten verlinkten BSI-IT-Sicherheitshinweis).
  • Verringern Sie die Angriffsfläche (siehe den unten verlinkten BSI-IT-Sicherheitshinweis).
  • Beachten Sie die grundsätzlichen Sicherheitshinweise des BSI für Cloud-Umgebungen (siehe Link unten).
  • Beachten Sie die Sicherheitsempfehlungen für Redis-Server (siehe Link unten).

Weitere Informationen