漏洞描述
7月10日,互联网爆出Redis远程命令执行漏洞。Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。
该漏洞危害程度为高危(High)。经过分析,在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在两个Redis实例设置主从模式,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,这样就可以执行拓展的新命令了。目前,漏洞利用原理已公开,官方补丁尚未发布。
影响范围
受影响版本
Redis 4.X
Redis 5.X
漏洞详情
攻击者在获取到Redis授权访问漏洞的情况下,可以利用新增功能引入模块,使被攻击服务器中加载恶意的.so文件,从而实现恶意代码执行。若Redis为4.0以下版本(2.x,3.x),同时Redis-server以root权限启动,则攻击者可在服务器上创建任意文件。
缓解措施(安全建议)
· 在conf 配置文件中找到“requirepass”字段,取消注释并在后面填上需要设置的密码。(注:密码复杂度需满足要求;修改Redis的配置需要重启Redis才能生效。)
· 禁止使用root权限启动Redis服务;
· 如Redis只需本机访问,配置conf文件,限制访问Redis服务器的IP地址(bind 127.0.0.1或指定IP地址)
推荐阅读之等保2.0系列
等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比
等保2.0通用要求VS等保1.0(三级)管理部分要求详细对比
等级测评服务、安全巡检服务、安全培训服务
可信众测服务、安全监测服务、应急响应服务
风险评估服务、安全加固服务、应急演练服务
上线测评服务、安全运维服务、敏感时期保障
咨询电话:0731-83758161
湖南金盾为您提供更专业的信息安全服务
www.jdicsp.org
办公地址:湖南省长沙市岳麓区麓云路100号兴工国际产业园10栋502
长按二维码关注我们
原文始发于微信公众号(湖南金盾评估中心):【威胁通告】Redis主从同步代码执行漏洞预警通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论