\nRedis a int\u00e9gr\u00e9 Lua en 2012<\/a>
\ndans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vuln\u00e9rabilit\u00e9 activ\u00e9e par d\u00e9faut.<\/p>\n
![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/redis-quand-75-du-cloud-repose-sur-le-meme-maillon\/redis-quand-75-du-cloud-repose-sur-le-meme-maillon-1.webp\")
<\/p>\n
Et les chiffres donnent le vertige car d\u2019apr\u00e8s les scans de Wiz Research, environ 330 000 instances Redis sont expos\u00e9es directement sur Internet. Et sur ces 330 000, au moins 60 000 n\u2019ont m\u00eame pas d\u2019authentification activ\u00e9e. Donc autant dire qu\u2019elles sont ouvertes \u00e0 tous les vents et que les serveurs qui se cachent derri\u00e8re aussi\u2026<\/p>\n
Toute l\u2019infrastructure cloud moderne repose sur une poign\u00e9e de briques open source critiques, et \u00e7a marche tellement bien qu\u2019on en met partout et on finit souvent par oublier \u00e0 quel point c\u2019est fragile\u2026 On l\u2019a d\u00e9j\u00e0 vu par exemple avec \u00c0 chaque fois, c\u2019est le m\u00eame sch\u00e9ma o\u00f9 un composant open source critique, utilis\u00e9 partout, et maintenu par une \u00e9quipe minuscule (souvent 1 \u00e0 5 personnes), se retrouve avec un bug qui expose des pans entiers de l\u2019infrastructure mondiale d\u2019Internet\u2026 Argh !<\/p>\n \nMaintenant, la bonne nouvelle<\/a> La d\u00e9couverte de RediShell a \u00e9t\u00e9 faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alert\u00e9, Redis a publi\u00e9 son bulletin de s\u00e9curit\u00e9 le 3 octobre dernier, et Wiz a rendu public les d\u00e9tails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s\u2019est bien pass\u00e9 de ce c\u00f4t\u00e9-l\u00e0\u2026<\/p>\n Maintenant pour r\u00e9duire ce genre de risque \u00e0 terme, je pense que ce serait cool si les g\u00e9ants d\u2019Internet finan\u00e7aient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l\u2019
\nLog4Shell<\/a>
\nqui a touch\u00e9 des millions de serveurs Java en 2021, puis avec
\nHeartbleed<\/a>
\ndans OpenSSL en 2014. Et on a failli le voir avec
\nla backdoor XZ Utils<\/a>
\nd\u00e9couverte in extremis en 2024.<\/p>\n
\n, c\u2019est que Redis a publi\u00e9 des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c\u2019est le moment de mettre \u00e0 jour !! Et pendant que vous y \u00eates, activez aussi l\u2019authentification avec la directive requirepass, et d\u00e9sactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire \u00e7a via les ACL Redis ou simplement en r\u00e9voquant les permissions de scripting.<\/p>\n
\nOpenSSF<\/a>
\ncar pour le moment, on est loin du compte ! Redis est patch\u00e9, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c\u2019est une nouvelle fois, juste une question de temps\u2026<\/p>\n