Redis存在远程命令执行漏洞
Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。作为一个高性能的key-value数据库,Redis在部分场景下对关系数据库起到很好的补充作用。
一、漏洞分析
CNVD收录时间:2019-7-10
漏洞编号:CNVD-2019-21763
危害等级:高危
漏洞描述:2019年7月7日,LC/BC的成员PavelToporkov在WCTF2019Final分享会上介绍了Redis新版本的远程命令执行漏洞的利用方式。由于在Reids4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so文件,从而实现远程代码执行。
二、漏洞影响范围
漏洞影响的产品版本包括:
Redis 2.x,3.x,4.x,5.x
三、漏洞处置建议
目前,Redis官方暂未发布补丁,临时解决方案如下:
1、禁止外部访问Redis服务端口;
2、禁止使用root权限启动Redis服务;
3、配置安全组,限制可连接Redis服务器的IP。
建议使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
