漏洞描述:
Redis 是一个开源的键值型非关系数据库,SORT_RO命令用于对存储在 Redis 中的数据进行排序,ACL 配置指 Redis 的访问控制列表。
受影响版本中未正确识别由 SORT_RO 命令访问的键,攻击者可执行 SORT_RO 命令(如:
sort_ro key)访问 ACL 配置中未授权访问的键。
影响范围:
Redis[7.0, 7.0.13)
Redis[7.2.0, 7.2.1)
redis@影响所有版本
redis(-∞, 7.0.13-1)
redis(-∞, 7.0.13-1)
修复方案:
升级Redis到 7.0.13、7.2.1 或更高版本
将组件 redis 升级至 7.0.13-1 及以上版本
参考链接:
https://github.com/redis/redis/commit/9e505e6cd842338424e05883521ca1fb7d0f47f6
https://github.com/redis/redis/security/advisories/GHSA-q4jr-5p56-4xwc
原文始发于微信公众号(飓风网络安全):【漏洞情报】Redis SORT_RO命令可绕过 ACL 配置
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论