DEVMODE Community adalah platform kreator, tech founder dan developer untuk belajar, berdiskusi, dan berkarya di dunia digital.
Redis baru saja mengeluarkan security advisory untuk CVE-2025-49844, sebuah kerentanan use-after-free di mesin Lua yang dinilai kritis dengan skor CVSS 10.0. Menurut laporan dari Redis Security Advisory, attacker yang sudah terautentikasi bisa memanfaatkan Lua script yang dibuat khusus untuk memanipulasi garbage collector, memicu use-after-free, dan berpotensi mengeksekusi kode remote.
Redis Cloud subscriptions yang berisiko sudah di-patch secara otomatis oleh tim Redis. Namun, untuk yang menjalankan Redis self-managed, baik versi Community, OSS, Stack, maupun Software, segera upgrade ke versi terbaru yang sudah berisi fix.
Versi yang Terdampak dan Patch
Kerentanan ini memengaruhi semua rilis Redis Software serta semua rilis Redis OSS, CE, dan Stack yang mendukung Lua scripting. Versi patched yang tersedia meliputi Redis Software 7.22.2-20 ke atas, 7.8.6-207 ke atas, 7.4.6-272 ke atas, 7.2.4-138 ke atas, dan 6.4.2-131 ke atas. Untuk Redis OSS dan CE, versi aman adalah 8.2.2, 8.0.4, 7.4.6, dan 7.2.11 ke atas. Redis Stack versi 7.4.0-v7 dan 7.2.0-v19 ke atas sudah diperbaiki.
Mitigasi Sementara
Sebelum sempat patch, tim infrastruktur bisa mengurangi risiko eksploitasi dengan membatasi akses jaringan. Pastikan hanya pengguna dan sistem yang berwenang yang bisa mengakses instance Redis. Gunakan firewall dan network policy untuk membatasi koneksi dari sumber terpercaya. Selain itu, enforce strong authentication dan pastikan protected-mode aktif pada Community Edition dan OSS.
Penting juga untuk menerapkan prinsip least privilege. Identitas pengguna yang mengakses Redis harus diberi izin seminimal mungkin. Hanya izinkan identitas terpercaya untuk menjalankan Lua script atau command berisiko lainnya.
Redis menyediakan beberapa indikator kompromi yang bisa dicek di environment Anda. Beberapa tanda yang perlu diwaspadai antara lain: akses database dari sumber tidak dikenal, traffic ingress anomali, penggunaan scripting command yang tidak terduga, crash server yang berasal dari Lua engine, serta perubahan file system di direktori konfigurasi atau persistent Redis.
Bagi tim DevOps dan SRE di Indonesia yang masih menjalankan Redis versi lama untuk caching atau message broker, ini adalah pengingat penting. Jangan tunda patching, terutama jika instance Redis Anda bisa diakses dari jaringan internal yang luas atau memiliki autentikasi lemah.
Punya Produk Keren? Showcase Sekarang!
Dapatkan feedback, users, dan eksposur dari komunitas kreator, developer, dan entrepreneur digital Indonesia.
Submit Produk → Pelajari Dulu