当前位置:首页 > 漏洞预警 > 正文

关于Redis存在远程命令执行漏洞安全预警通告

发布时间:2019-07-11 09:49:59,来源:恒安嘉新

一、漏洞描述


7月10日,互联网爆出Redis远程命令执行漏洞。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。该漏洞危害程度为高危(High)。目前,漏洞利用原理已公开,官方补丁尚未发布。


二、影响范围


受影响版本:

Redis 2.x,3.x,4.x,5.x


三、漏洞原理


Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。作为一个高性能的key-value数据库,Redis在部分场景下对关系数据库起到很好的补充作用。

由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。


四、修复建议


目前,官方未发布补丁,建议用户采取如下临时解决方案:

Ø  禁止外部访问Redis 服务端口;

Ø  禁止使用root权限启动Redis服务;

Ø  配置安全组,限制可连接Redis服务器的IP。

使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。