Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.

Estampillée CVE-2025-49844, et joliment baptisée RediShell, cette faille en elle-même est assez technique puiqu’elle repose sur un bug Use-After-Free dans l’interpréteur Lua intégré à Redis. En gros, un attaquant authentifié peut envoyer un script Lua malveillant qui vient manipuler le garbage collector, provoque un accès mémoire après libération, et permet ainsi d’exécuter du code arbitraire sur le serveur.

C’est de la RCE complète salade tomates oignons, avec sauce système compromis !

Le truc, c’est que ce bug dormait dans le code depuis 13 ans dès que Redis a intégré Lua en 2012 dans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vulnérabilité activée par défaut.

Et les chiffres donnent le vertige car d’après les scans de Wiz Research, environ 330 000 instances Redis sont exposées directement sur Internet. Et sur ces 330 000, au moins 60 000 n’ont même pas d’authentification activée. Donc autant dire qu’elles sont ouvertes à tous les vents et que les serveurs qui se cachent derrière aussi…

Toute l’infrastructure cloud moderne repose sur une poignée de briques open source critiques, et ça marche tellement bien qu’on en met partout et on finit souvent par oublier à quel point c’est fragile… On l’a déjà vu par exemple avec Log4Shell qui a touché des millions de serveurs Java en 2021, puis avec Heartbleed dans OpenSSL en 2014. Et on a failli le voir avec la backdoor XZ Utils découverte in extremis en 2024.

À chaque fois, c’est le même schéma où un composant open source critique, utilisé partout, et maintenu par une équipe minuscule (souvent 1 à 5 personnes), se retrouve avec un bug qui expose des pans entiers de l’infrastructure mondiale d’Internet… Argh !

Maintenant, la bonne nouvelle , c’est que Redis a publié des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c’est le moment de mettre à jour !! Et pendant que vous y êtes, activez aussi l’authentification avec la directive requirepass, et désactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire ça via les ACL Redis ou simplement en révoquant les permissions de scripting.

La découverte de RediShell a été faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alerté, Redis a publié son bulletin de sécurité le 3 octobre dernier, et Wiz a rendu public les détails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s’est bien passé de ce côté-là…

Maintenant pour réduire ce genre de risque à terme, je pense que ce serait cool si les géants d’Internet finançaient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l’ OpenSSF car pour le moment, on est loin du compte ! Redis est patché, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c’est une nouvelle fois, juste une question de temps…

Source