【漏洞通告】Redis 远程代码实行漏洞(CVE-2021-32761)

发布时间 2021-07-22


0x00 漏洞概述

CVE     ID

CVE-2021-32761

时      间

2021-07-22

类      型

RCE

等      级

高危

远程利用

影响范围


攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

未公开

在野利用


 

0x01 漏洞详情

image.png

Redis 是一个开源的高性能key-value数据库,它在世界范围内被广泛应用。

2021年7月22日, Redis发布安全公告,公开了Redis 32位版本中的一个远程代码实行漏洞(CVE-2021-32761),该漏洞的CVSSv3评分为7.5。

在32位系统上,Redis BITFIELD 命令存在整数溢出漏洞,通过修改默认的proto-max-bulk-len配置参数并构建特制的bit 命令,攻击者可以破坏堆、泄漏任意堆内容或远程实行代码。该漏洞仅影响 32 位版本的 Redis。

 

影响范围

Redis >=2.2 and < 5.0.13

Redis >=2.2 and < 6.0.15

Redis >=2.2 and < 6.2.5


0x02 处置建议

目前此漏洞已经修复。建议及时更新至Redis 6.2.5、6.0.15、5.0.13或更高版本。

下载链接:

https://github.com/redis/redis


0x03 参考链接

https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj

https://github.com/redis/redis

https://nvd.nist.gov/vuln/detail/CVE-2021-32761

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-07-22

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png      image.png