漏洞描述:
Redis是一款将数据存储在磁盘上的内存数据库。
在受影响版本中,Redis在启动时会在Unix socket上监听连接,然后根据用户提供的配置来调整权限。如果系统上使用了过于宽松的umask(2),会存在一个潜在的竞争条件,使得在短时间内另一个进程能够建立未经授权的连接。攻击者有可能在竞争条件下建立未经授权的连接,可能导致未经授权的访问和数据泄露。
影响范围:
redis[2.6.0-rc1, 6.2.14)
redis-devel响所有版本
redis-doc影响所有版本
修复方案:
将组件 redis 升级至 6.2.14 及以上版本
参考链接:
https://github.com/redis/redis/commit/03345ddc7faf7af079485f2cbe5d17a1611cbce1
https://github.com/redis/redis/security/advisories/GHSA-ghmp-889m-7cvx
原文始发于微信公众号(飓风网络安全):【漏洞预警】Redis Labs Redis 安全漏洞CVE-2023-45145
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论