北京蓝军网安(集团)科技发展有限责任公司
banner

Redis主从同步代码执行漏洞预警通告

发布时间 2019-11-04

漏洞描述

7月10日,互联网爆出Redis远程命令执行漏洞。Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。

该漏洞危害程度为高危(High)。经过分析,在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在两个Redis实例设置主从模式,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,这样就可以执行拓展的新命令了。目前,漏洞利用原理已公开,官方补丁尚未发布。

影响范围

受影响版本

Redis 4.X

Redis 5.X

漏洞详情

攻击者在获取到Redis授权访问漏洞的情况下,可以利用新增功能引入模块,使被攻击服务器中加载恶意的.so文件,从而实现恶意代码执行。若Redis为4.0以下版本(2.x,3.x),同时Redis-server以root权限启动,则攻击者可在服务器上创建任意文件。

缓解措施(安全建议)

在conf 配置文件中找到“requirepass”字段,取消注释并在后面填上需要设置的密码。(注:密码复杂度需满足要求;修改Redis的配置需要重启Redis才能生效。)

禁止使用root权限启动Redis服务;

如Redis只需本机访问,配置conf文件,限制访问Redis服务器的IP地址(bind 127.0.0.1或指定IP地址)


公众号
公众号
公众号
公众号

©2015-2024北京蓝军网安(集团)科技发展有限责任公司版权所有

京ICP备19048154号-1服务支持:北京小鱼在线