Valkey schließt DoS-Lücke im Cluster-Bus – Updates für mehrere Versionszweige
Ein Fehler im Clusterbus-Paket-Handling von Valkey kann bei erreichbarem Cluster-Port Abstürze auslösen, weshalb Maintainer und Distributionen Updates und Sicherheitsadvisories für mehrere Versionen bereitstellen.
- CVE-2026-21863 beschreibt einen Out-of-bounds Read beim Verarbeiten bestimmter Clusterbus-Ping-Erweiterungen und kann zu Denial-of-Service führen.
- Betroffen sind Valkey-Versionen vor 9.0.2, 8.1.6, 8.0.7 und 7.2.12; Fixes sind in diesen Releases enthalten und über die Projektseite verfügbar.
- Als zusätzliche Maßnahme sollte der Clusterbus-Port nicht direkt exponiert und durch separate Netzwerk-ACLs segmentiert werden.
- Red Hat hat die Lücke in einem Security Advisory als „Important“ eingestuft und liefert gepatchte Pakete für RHEL aus.
- Im selben Advisory werden weitere Valkey-Fixes genannt, darunter ein Lua-Script-bezogener Sicherheitsfehler (CVE-2025-67733).
Das Open-Source-Projekt Valkey hat Sicherheitsupdates veröffentlicht, nachdem eine Schwachstelle im Cluster-Kommunikationspfad zu Abstürzen führen kann. Valkey ist ein hochperformanter Key/Value-Datastore, der häufig als Cache, Message-Queue-Baustein oder als schnelle Datenbank-Schicht eingesetzt wird. In Cluster-Setups kommunizieren die Knoten über einen eigenen „cluster bus“ – und genau dort setzt CVE-2026-21863 an.
Der Kern des Problems liegt in der Verarbeitung bestimmter Clusterbus-Pakete: Wird eine Ping-Extension an einer unerwarteten Position im Paket platziert, kann der Code einen Out-of-bounds Read auslösen. Ein Angreifer, der Zugriff auf den Clusterbus-Port hat, könnte damit einen Denial-of-Service provozieren, indem der Prozess abstürzt. Der Eintrag in der National Vulnerability Database ordnet die Lücke als High ein (CVSS 3.1 Base Score 7.5) und verweist auf eine GitHub-Sicherheitsmeldung des Projekts.
Nach aktuellem Stand sind mehrere Versionszweige betroffen. Als behoben werden Versionen 9.0.2, 8.1.6, 8.0.7 und 7.2.12 genannt; Betreiber müssen daher je nach eingesetztem Branch auf das passende Patch-Release aktualisieren. Auf der Projektseite werden darüber hinaus aktuelle Docker-Images und Binärartefakte bereitgestellt, wodurch auch Container-basierte Deployments zeitnah aktualisiert werden können.
Neben dem eigentlichen Patch betonen die Hinweise einen klassischen Operations-Punkt: Der Clusterbus-Port sollte nicht für Endnutzer oder untrusted Netze erreichbar sein. Praktisch bedeutet das, dass Cluster-Ports in privaten Netzsegmenten liegen, per Firewall/ACL abgesichert und idealerweise durch zusätzliche Controls (z. B. Security Groups, Netzwerk-Policies) getrennt werden. In vielen Umgebungen ist das ohnehin Best Practice, doch die Lücke zeigt, wie schnell eine versehentlich exponierte Management- oder Interconnect-Schnittstelle zum Single Point of Failure wird.
Dass die Schwachstelle nicht nur das Upstream-Projekt betrifft, zeigt die Reaktion der Distributionen. Red Hat hat ein Security Advisory (RHSA-2026:3443) veröffentlicht und die Valkey-Pakete für Red Hat Enterprise Linux aktualisiert; neben CVE-2026-21863 wird darin auch CVE-2025-67733 genannt, der in Lua-Skripten zu Datenmanipulation und DoS führen kann. Für Betreiber heißt das: Wer Valkey aus OS-Repositories bezieht, sollte neben Upstream-Releases auch die Vendor-Advisories prüfen, weil Fixes über unterschiedliche Kanäle und Zeitlinien in die Systeme gelangen.