Weiter zum Inhalt
  • Home
  • Aktuell
  • Tags
  • 0 Ungelesen 0
  • Kategorien
  • Unreplied
  • Beliebt
  • GitHub
  • Docu
  • Hilfe
Skins
  • Hell
  • Brite
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dunkel
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor
  • Standard: (Kein Skin)
  • Kein Skin
Einklappen
ioBroker Logo

Community Forum
donate donate
  1. ioBroker Community Home
  2. Deutsch
  3. Off Topic
  4. Alarm? Redis-Sicherheitslücke

NEWS

  • Neuer ioBroker-Blog online: Monatsrückblick März/April 2026
    BluefoxB
    Bluefox
    6
    1
    201
  • Verwendung von KI bitte immer deutlich kennzeichnen
    HomoranH
    Homoran
    8
    1
    209
  • Monatsrückblick Januar/Februar 2026 ist online!
    BluefoxB
    Bluefox
    18
    1
    888

Alarm? Redis-Sicherheitslücke

Geplant Angeheftet Gesperrt Verschoben Off Topic
2 Beiträge 2 Kommentatoren 153 Aufrufe 2 Beobachtet
  • Älteste zuerst
  • Neuste zuerst
  • Meiste Stimmen
Antworten
  • In einem neuen Thema antworten
Anmelden zum Antworten
Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
  • MartinPM Online
    MartinPM Online
    MartinP
    schrieb am zuletzt editiert von MartinP
    #1

    https://www.golem.de/news/echtzeit-datenbank-redis-warnt-vor-kritischer-luecke-in-tausenden-instanzen-2510-200873.html

    Meist sind die iobroker (und damit auch redis) ja aus dem Internet nicht erreichbar... außerdem:

    ... Allerdings kann die Lücke nur durch einen authentifizierten Nutzer missbraucht werden.

    Bei einem erfolgreichen Angriff auf CVE-2025-49844
    kann Code außerhalb der Lua-Sandbox ausgeführt werden. Zudem soll es möglich sein, eine Reverse Shell für einen dauerhaften Zugriff einzurichten, um beliebigen Code auf einem Redis-Host auszuführen.

    Trotzdem: Ein schwaches oder gar kein Redis Password und ein infiltriertes China-Cloud iOT Gerät als erstes Einfallstor, und ein Angreifer kann auch das Linux-System auf dem Redis und ggs. iobroker arbeiten übernehmen)

    Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
    Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
    Linux pve 6.17.9-1-pve
    6 GByte RAM für den Container
    Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
    Remote-Access über Wireguard der Fritzbox

    OliverIOO 1 Antwort Letzte Antwort
    0
    • MartinPM MartinP

      https://www.golem.de/news/echtzeit-datenbank-redis-warnt-vor-kritischer-luecke-in-tausenden-instanzen-2510-200873.html

      Meist sind die iobroker (und damit auch redis) ja aus dem Internet nicht erreichbar... außerdem:

      ... Allerdings kann die Lücke nur durch einen authentifizierten Nutzer missbraucht werden.

      Bei einem erfolgreichen Angriff auf CVE-2025-49844
      kann Code außerhalb der Lua-Sandbox ausgeführt werden. Zudem soll es möglich sein, eine Reverse Shell für einen dauerhaften Zugriff einzurichten, um beliebigen Code auf einem Redis-Host auszuführen.

      Trotzdem: Ein schwaches oder gar kein Redis Password und ein infiltriertes China-Cloud iOT Gerät als erstes Einfallstor, und ein Angreifer kann auch das Linux-System auf dem Redis und ggs. iobroker arbeiten übernehmen)

      OliverIOO Offline
      OliverIOO Offline
      OliverIO
      schrieb am zuletzt editiert von
      #2

      @martinp
      Sehr gut, solche Beispiele sensibilisieren die User.
      Daher Redis nur in einem User und nicht als Root laufen lassen.
      Noch besser in einem docker Container kapseln, weil wer dann mal im Redis drin ist muss als Nächstes erst mal wieder aus dem Container ausbrechen.
      Redis in einem Container werden uU durch andere Geräte nicht gesehen, da sie nur in einem gekapselten virtuellem Netzwerk laufen wo nur die Dienste Redis sehen dürfen die Redis auch benötigen.

      Meine Adapter und Widgets
      TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
      Links im Profil

      1 Antwort Letzte Antwort
      0

      Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.

      Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.

      Mit deinem Input könnte dieser Beitrag noch besser werden 💗

      Registrieren Anmelden
      Antworten
      • In einem neuen Thema antworten
      Anmelden zum Antworten
      • Älteste zuerst
      • Neuste zuerst
      • Meiste Stimmen

      Support us

      ioBroker
      Community Adapters
      Donate

      292

      Online

      32.8k

      Benutzer

      82.7k

      Themen

      1.3m

      Beiträge
      Community
      Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen | Einwilligungseinstellungen
      ioBroker Community 2014-2025
      logo
      • Anmelden
      • Du hast noch kein Konto? Registrieren
      • Anmelden oder registrieren, um zu suchen
      • Erster Beitrag
        Letzter Beitrag
      0
      • Home
      • Aktuell
      • Tags
      • Ungelesen 0
      • Kategorien
      • Unreplied
      • Beliebt
      • GitHub
      • Docu
      • Hilfe