【注意】关于Redis存在远程命令执行漏洞的安全公告

点击蓝色“程序猿DD”关注我

回复“资源”获取独家整理的学习资料！

来源：CNVD漏洞平台

---

安全公告编号:CNTA-2019-0024

2019年7月10日，国家信息安全漏洞共享平台（CNVD）收录了Redis远程命令执行漏洞（CNVD-2019-21763）。攻击者利用该漏洞，可在未授权访问Redis的情况下执行任意代码，获取目标服务器权限。目前，漏洞利用原理已公开，官方补丁尚未发布。

一、漏洞情况分析

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。作为一个高性能的key-value数据库，Redis在部分场景下对关系数据库起到很好的补充作用。

2019年7月7日，LC/BC的成员Pavel Toporkov在WCTF2019 Final分享会上介绍了Redis新版本的远程命令执行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模块功能，攻击者可通过外部拓展，在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块，在未授权访问的情况下使被攻击服务器加载恶意.so 文件，从而实现远程代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Redis 2.x，3.x，4.x，5.x

三、漏洞处置建议

目前，Redis官方暂未发布补丁，临时解决方案如下：

1. 禁止外部访问Redis 服务端口

2. 禁止使用root权限启动Redis服务

3. 配置安全组，限制可连接Redis服务器的IP

建议使用Redis数据库的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。

 

附：参考链接：https://paper.seebug.org/975/

---

推荐阅读：

• 阿里云Redis开发规范
  

• Redis作者的公开信：开源维护者的挣扎和无奈
  

• Redisson实现Redis分布式锁的N种姿势

• 百亿数据量下，掌握这些Redis技巧你就能Hold全场

• Redis几个重要的健康指标
  

---

“自律到极致 - 人生才精致：第10期”

明日奉上，关注我！不错过本次签到活动！

2019

与大家聊聊技术人的斜杠生活

点一点“阅读原文”小惊喜在等你