Avis de sécurité Redis

13 juin 2018 11h00 PDT (heure du Pacifique)

Redis a publié un avis de sécurité concernant leur stockage de données en mémoire. Les nœuds clients gérés par Amazon ElastiCache et compatibles avec Redis ont chacun pour unique fonction d'exécuter un moteur pour un seul client au sein des VPC clients. En tant que tel, aucun client ni tiers ne peut accéder à ces nœuds, à l'exception de ceux pour lesquels le client a autorisé l'accès au VPC hôte.

Amazon ElastiCache a publié de nouvelles versions de Redis, qui contiennent des mises à jour traitant ce problème. Les clusters ElastiCache lancés après le 10 juin 2018 ne sont pas concernés par ce problème. Les clients disposant déjà de clusters ElastiCache recevront la version mise à jour dans le cadre de leurs fenêtres de maintenance programmée. Ces mises à jour sont conçues pour atténuer entièrement les risques liés à ce problème et renforcer les valeurs par défaut d'ElastiCache qui empêchent tout accès à distance non autorisé susceptible de mener à ce problème de Redis. Aucune action n'est requise de la part du client pour recevoir ces mises à jour.

Pour plus d'informations sur ce problème de sécurité, veuillez consulter la page http://antirez.com/news/119. Pour plus d'informations sur la gestion de l'accès réseau sécurisé aux clusters Amazon ElastiCache, veuillez consulter la page « Sécurité des Amazon VPC et ElastiCache ».