首頁 > 安全研究 > 安全通報 > 安全通告

Redis未授權訪問漏洞安全通告

發布時間 2019-07-10

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


適用于Redis 2.x,3.x,4.x,5.x。


漏洞概述


Redis是美國RedisLabs公司贊助的一套開源的使用ANSIC編寫、支持網絡、可基于內存亦可持久化的日志型、鍵值(Key-Value)存儲數據庫,并提供多種語言的API。


Redis中存在未授權訪問漏洞,該漏洞源于在Reids 4.x及以上版本中新增了模塊功能,攻擊者可通過外部拓展,在 redis中實現一個新的Redis命令。攻擊者可以利用該功能引入模塊,使被攻擊服務器中加載惡意的.so文件,從而實現惡意代碼執行。若Redis為4.0以下版本(2.x,3.x),同時redis-server以root權限啟動,則攻擊者可在服務器上創建任意文件。


漏洞驗證


暫無POC/EXP。


修復建議


1、禁止外部訪問Redis服務端口;
2、禁止使用root權限啟動redis服務;

3、配置安全組,限制可連接Redis服務器的IP。


參考鏈接


https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf 

上一篇 下一篇