2025年7月、インメモリ型データベース「Redis」において、新たなサービス拒否(DoS)脆弱性(CVE-2025-48367)が報告されました。
この問題は、認証済みユーザーがRedisのネットワークプロトコルを悪用することで、意図せぬ動作を引き起こし、サービスの可用性に影響を与える可能性があるものです。
脆弱性の概要と影響
この脆弱性は、Redisが採用する「multi-bulk」プロトコルを認証済みのクライアントが悪用することで、Redisサーバに過負荷を与え、サービスが応答しなくなる可能性がある点に起因します。
脆弱性の報告はセキュリティ研究者 Gabriele Digregorio 氏により行われ、Redisの開発チームによって確認されました。
「この問題は、Redisの認証機構を通過した正規ユーザーによって生じるものです。そのため、セキュリティモデルには違反しないものの、DoS攻撃のような形で可用性に影響を及ぼす恐れがあります。」
としています。
修正状況と対応方針
Redisは本件について、機能性とパフォーマンスへの影響を懸念し、コード上の修正は行わないという判断を下しました。
その代わり、セキュリティアドバイザリの公開によってユーザーへの注意喚起を行っています。ただし、以下の安定版リリースには、一般的な安定性向上や緩和策が含まれており、これらの適用が推奨されています。
-
Redis 8.0.3
-
Redis 7.4.5
-
Redis 7.2.10
-
Redis 6.2.19
Redis運用者への推奨対策
今回の脆弱性は認証済みユーザーによる内部からの悪用が前提となっており、Redisの運用環境におけるアクセス制御の見直しが重要です。Redisプロジェクトは以下の対策を推奨しています:
-
強力な認証の導入(パスワードや鍵ベースの認証)
-
Redisインスタンスを外部ネットワークに公開しない
-
企業のIDプロバイダ(IdP)との連携によるアクセス制御の強化
-
Redisセキュリティベストプラクティスの再確認と適用







