首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Redis 輸出緩沖區無限增長漏洞(CVE-2025-21605)

發布時間 2025-04-24

一、漏洞概述


漏洞名稱

Redis 輸出緩沖區無限增長漏洞

CVE   ID

CVE-2025-21605

漏洞類型

資源耗盡

發現時間

2025-04-24

漏洞評分

7.5

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

不需要

PoC/EXP

未公開

在野利用

未發現


Redis是一個開源的內存數據結構存儲系統,廣泛應用于緩存、消息隊列、實時分析等場景。它支持多種數據結構,如字符串、哈希、列表、集合、有序集合等,并提供豐富的操作命令。Redis具有高性能、靈活性和持久化能力,數據可以保存在內存中,定期或根據需求同步到磁盤。它支持主從復制、分區和高可用性配置,常用于提高系統響應速度和可擴展性。由于其高效的讀取和寫入性能,Redis成為現代分布式系統中不可或缺的組件之一。


2025年4月24日,啟明星辰集團VSRC監測到Redis官方發布的安全公告,在7.4.3 > Redis >= 2.6版本中,未認證的客戶端可以導致輸出緩沖區無限增長,直到服務器內存耗盡或進程被終止。默認配置下,Redis不限制普通客戶端的輸出緩沖區,允許其無限增長,導致服務崩潰或內存不可用。即使啟用了密碼認證,但未提供密碼,客戶端仍可通過"NOAUTH"響應導致緩沖區增長,最終耗盡系統內存。


二、影響范圍


7.4.3 > Redis >= 2.6


三、安全措施


3.1 升級版本


官方已發布安全更新,建議受影響用戶盡快升級至Redis 7.4.3版本。


下載鏈接:https://github.com/redis/redis/releases/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/redis/redis/releases/tag/7.4.3
https://github.com/redis/redis/security/advisories/GHSA-r67f-p999-2gff
上一篇 下一篇