Redis、認証済みクライアントによるDoS脆弱性を公表(CVE-2025-48367)

セキュリティニュース

投稿日時: 更新日時:

Redis、認証済みクライアントによるDoS脆弱性を公表(CVE-2025-48367)

2025年7月、インメモリ型データベース「Redis」において、新たなサービス拒否(DoS)脆弱性(CVE-2025-48367)が報告されました。

この問題は、認証済みユーザーがRedisのネットワークプロトコルを悪用することで、意図せぬ動作を引き起こし、サービスの可用性に影響を与える可能性があるものです。

脆弱性の概要と影響

この脆弱性は、Redisが採用する「multi-bulk」プロトコルを認証済みのクライアントが悪用することで、Redisサーバに過負荷を与え、サービスが応答しなくなる可能性がある点に起因します。
脆弱性の報告はセキュリティ研究者 Gabriele Digregorio 氏により行われ、Redisの開発チームによって確認されました。

「この問題は、Redisの認証機構を通過した正規ユーザーによって生じるものです。そのため、セキュリティモデルには違反しないものの、DoS攻撃のような形で可用性に影響を及ぼす恐れがあります。」

としています。

修正状況と対応方針

Redisは本件について、機能性とパフォーマンスへの影響を懸念し、コード上の修正は行わないという判断を下しました。

その代わり、セキュリティアドバイザリの公開によってユーザーへの注意喚起を行っています。ただし、以下の安定版リリースには、一般的な安定性向上や緩和策が含まれており、これらの適用が推奨されています。

  • Redis 8.0.3

  • Redis 7.4.5

  • Redis 7.2.10

  • Redis 6.2.19

Redis運用者への推奨対策

今回の脆弱性は認証済みユーザーによる内部からの悪用が前提となっており、Redisの運用環境におけるアクセス制御の見直しが重要です。Redisプロジェクトは以下の対策を推奨しています:

  • 強力な認証の導入(パスワードや鍵ベースの認証)

  • Redisインスタンスを外部ネットワークに公開しない

  • 企業のIDプロバイダ(IdP)との連携によるアクセス制御の強化

  • Redisセキュリティベストプラクティスの再確認と適用