В системе управления базами данных Redis была исправлена уязвимость типа use-after-free в коде блокирующего клиента, которая позволяла аутентифицированному пользователю выполнять произвольные команды операционной системы на машине, хранящей базу данных. Данная уязвимость, зафиксированная под идентификатором CVE-2026-23479, была обнаружена автономным инструментом искусственного интеллекта, специально разработанным для поиска ошибок в крупных кодовых базах.

Уязвимость была введена в Redis версии 7.2.0 и оставалась незамеченной более двух лет, присутствуя во всех стабильных ветках программы до выхода исправлений 5 мая. Это подчеркивает важность регулярного обновления программного обеспечения и мониторинга безопасности, особенно в таких широко используемых системах, как Redis.

Специалисты по кибербезопасности настоятельно рекомендуют пользователям Redis обновить свои версии до последней, чтобы избежать потенциальных угроз, связанных с данной уязвимостью. Несмотря на то, что уязвимость была исправлена, она служит напоминанием о том, насколько уязвимыми могут быть даже самые популярные и проверенные временем технологии.

Интересно, что использование автономных инструментов ИИ для поиска уязвимостей в коде может значительно ускорить процесс выявления проблем, что в свою очередь может повысить общую безопасность программного обеспечения. Однако это также поднимает вопросы о том, насколько надежны такие инструменты и как они могут быть использованы в будущем для улучшения качества кода.

Разработчики и администраторы баз данных должны быть внимательны к таким инцидентам и следить за обновлениями безопасности, а также использовать современные инструменты для анализа кода и выявления возможных уязвимостей. Важно помнить, что безопасность данных – это непрерывный процесс, требующий постоянного внимания и усилий.

Источник новости:
The Hacker News

Читать полностью