【漏洞预警】Redis注入漏洞(CVE-2022-24735)

admin 2022年5月5日21:27:51评论1,791 views字数 782阅读2分36秒阅读模式

 01


漏洞描述




 


Redis LabsRedis
是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
Redis 6.2.7 和 7.0.0 之前版本存在注入漏洞存在注入漏洞,该漏洞源于Lua 脚本执行环境存在问题。攻击者利用该漏洞可以实现以另一个Redis用户的权限执行脚本。


 02

漏洞危害



通过利用 Lua 脚本执行环境中的弱点,可以访问 7.0.0 或 6.2.7 之前版本的 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高的)权限执行。Redis 中的 Lua 脚本执行环境提供了一些措施来防止脚本产生持续存在的副作用,并可能影响以后执行相同或不同的脚本。这些措施的几个弱点早已为人所知,但由于 Redis 安全模型没有认可用户或权限的概念,因此它们没有安全影响。随着 Redis 6.0 中 ACL 的引入,这些弱点可以被较低权限的用户利用来注入稍后执行的 Lua 代码,当特权用户执行 Lua 脚本时。该问题已在 Redis 版本 7.0.0 和 6.2.7 中得到修复。如果没有使用 Lua 脚本,在不修补 redis-server 可执行文件的情况下缓解此问题的另一个解决方法是使用 ACL 规则阻止对“SCRIPT LOAD”和“EVAL”命令的访问。

 03

影响范围





Redis Redis <7.0.0
Redis Redis <6.2.7

04

漏洞等级

   

   低


 05

修复方案


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/redis/redis/security/advisories/GHSA-647m-2wmq-qmvq















END

长按识别二维码,了解更多


【漏洞预警】Redis注入漏洞(CVE-2022-24735)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Redis注入漏洞(CVE-2022-24735)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月5日21:27:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Redis注入漏洞(CVE-2022-24735)http://cn-sec.com/archives/977186.html

发表评论

匿名网友 填写信息