Vulnerabilidad en Redisson (CVE-2023-42809)

Redisson es un cliente Java Redis que utiliza el framework Netty. Antes de la versión 3.22.0, algunos de los mensajes recibidos del servidor Redis contienen objetos Java que el cliente deserializa sin mayor validación. Los atacantes que logran engañar a los clientes para que se comuniquen con un servidor malicioso pueden incluir objetos especialmente manipulados en sus respuestas que, una vez deserializados por el cliente, lo obligan a ejecutar código arbitrario. Se puede abusar de esto para tomar el control de la máquina en la que se ejecuta el cliente. La versión 3.22.0 contiene un parche para este problema. Se encuentran disponibles algunos consejos posteriores a la reparación. NO utilice `Kryo5Codec` como códec de deserialización, ya que aún es vulnerable a la deserialización arbitraria de objetos debido a la llamada `setRegistrationRequired(false)`. Por el contrario, "KryoCodec" es seguro de usar. La solución aplicada a `SerializationCodec` solo consiste en agregar una lista opcional de nombres de clases de permitidos, aunque se recomienda que este comportamiento sea el predeterminado. Al crear una instancia de `SerializationCodec`, utilice el constructor `SerializationCodec(ClassLoader classLoader, Set AllowClasses)` para restringir las clases permitidas para la deserialización.