【威胁通告】Redis主从同步代码执行漏洞预警通告

admin 2022年6月29日18:32:42安全漏洞评论14 views991字阅读3分18秒阅读模式

漏洞描述

7月10日,互联网爆出Redis远程命令执行漏洞。Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。

该漏洞危害程度为高危(High)。经过分析,在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在两个Redis实例设置主从模式,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,这样就可以执行拓展的新命令了。目前,漏洞利用原理已公开,官方补丁尚未发布。

影响范围

受影响版本

Redis 4.X

Redis 5.X

漏洞详情

攻击者在获取到Redis授权访问漏洞的情况下,可以利用新增功能引入模块,使被攻击服务器中加载恶意的.so文件,从而实现恶意代码执行。若Redis为4.0以下版本(2.x,3.x),同时Redis-server以root权限启动,则攻击者可在服务器上创建任意文件。

缓解措施(安全建议)

·  在conf 配置文件中找到“requirepass”字段,取消注释并在后面填上需要设置的密码。(注:密码复杂度需满足要求;修改Redis的配置需要重启Redis才能生效。)

·   禁止使用root权限启动Redis服务;

·  如Redis只需本机访问,配置conf文件,限制访问Redis服务器的IP地址(bind 127.0.0.1或指定IP地址)


推荐阅读之等保2.0系列

等保2.0之如何确定信息系统安全保护等级

等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比

等保2.0通用要求VS等保1.0(三级)管理部分要求详细对比

等保2.0之云租户必读

等保2.0之移动互联安全

新测评机构管理办法VS原办法对比

等级测评服务、安全巡检服务、安全培训服务

可信众测服务、安全监测服务、应急响应服务

风险评估服务、安全加固服务、应急演练服务

上线测评服务、安全运维服务、敏感时期保障

咨询电话:0731-83758161

【威胁通告】Redis主从同步代码执行漏洞预警通告

湖南金盾为您提供更专业的信息安全服务

www.jdicsp.org

办公地址:湖南省长沙市岳麓区麓云路100号兴工国际产业园10栋502


长按二维码关注我们




原文始发于微信公众号(湖南金盾评估中心):【威胁通告】Redis主从同步代码执行漏洞预警通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日18:32:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【威胁通告】Redis主从同步代码执行漏洞预警通告 http://cn-sec.com/archives/1101176.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: