Vulnerabilidad en Redis (CVE-2025-21605)

Redis es una base de datos en memoria de código abierto que persiste en el disco. En versiones a partir de la 2.6 y anteriores a la 7.4.3, un cliente no autenticado puede provocar un crecimiento ilimitado de los búferes de salida, hasta que el servidor se quede sin memoria o se cierre. De forma predeterminada, la configuración de Redis no limita el búfer de salida de los clientes normales (véase client-output-buffer-limit). Por lo tanto, el búfer de salida puede crecer ilimitadamente con el tiempo. Como resultado, el servicio se agota y la memoria no está disponible. Cuando la autenticación con contraseña está habilitada en el servidor Redis, pero no se proporciona ninguna contraseña, el cliente puede provocar que el búfer de salida crezca a partir de respuestas "NOAUTH" hasta que el sistema se quede sin memoria. Este problema se ha corregido en la versión 7.4.3. Otro workaround para mitigar este problema sin parchear el ejecutable redis-server es bloquear el acceso para evitar que usuarios no autenticados se conecten a Redis. Esto se puede hacer de diferentes maneras. Ya sea utilizando herramientas de control de acceso a la red, como firewalls, iptables, grupos de seguridad, etc., o habilitando TLS y requiriendo que los usuarios se autentiquen utilizando certificados del lado del cliente.