【漏洞通告】Redis 存在远程代码执行漏洞 (CVE-2021-32761)

  • A+
所属分类:安全漏洞

基本信息

风险等级: 高危

漏洞类型: 远程代码执行

漏洞利用: 暂无 

漏洞编号: 

CVE-2021-32761

漏洞描述

近日,飓风安全团队监测到Redis官方发布了Redis远程代码执行漏洞的风险通告,漏洞编号为CVE-2021-32761;攻击者通过*BIT*命令与proto-max-bulk-len配置参数结合的情况下,可攻击运行在32位的系统中的32位的Redis程序,该漏洞能够造成整形溢出,并最终导致远程代码执行。

【受影响版本】

  • 2.2 < Redis Redis < 5.0.13

  • 2.2 < Redis Redis < 6.0.15

  • 2.2 < Redis Redis < 6.2.5

【安全版本】

  • Redis Redis 5.0.13

  • Redis Redis 6.0.15

  • Redis Redis 6.2.5

【漏洞通告】Redis 存在远程代码执行漏洞 (CVE-2021-32761)

Redis是世界范围内应用最广泛的内存型高速键值对数据库。

影响范围

2.2 < Redis Redis < 5.0.13,2.2 < Redis Redis < 6.0.15,2.2 < Redis Redis < 6.2.5

解决方案

修复建议

临时修复建议:

1、禁止低权限用户使用CONFIG SET指令

2、替换为64位的Redis程序

通用修复建议:

根据影响版本中的信息,排查并升级到安全版本,下载链接:

https://github.com/redis/redis/releases


本文始发于微信公众号(飓风网络安全):【漏洞通告】Redis 存在远程代码执行漏洞 (CVE-2021-32761)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: