Redis未授权访问漏洞安全通告
发布时间 2019-07-10漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
适用于Redis 2.x,3.x,4.x,5.x。
漏洞概述
Redis是美国RedisLabs企业赞助的一套开源的使用ANSIC编写、支撑网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
Redis中存在未授权访问漏洞,该漏洞源于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在 redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,使被攻击服务器中加载恶意的.so文件,从而实现恶意代码实行。若Redis为4.0以下版本(2.x,3.x),同时redis-server以root权限启动,则攻击者可在服务器上创建任意文件。
漏洞验证
暂无POC/EXP。
修复建议
2、禁止使用root权限启动redis服务;
3、配置安全组,限制可连接Redis服务器的IP。
参考链接