二向箔级漏洞>Redis 补丁修复多个漏洞，包括潜在的 RCE（CVE-2024-31449）

反正都被人说是标题党了，那就贯彻到底

Redis 是一种流行的开源数据结构存储，通常用作数据库、缓存和消息代理。在发现三个新的安全漏洞后，Redis 敦促用户立即更新其安装。这些漏洞包括远程代码执行 (RCE) 和拒绝服务 (DoS) 风险，如果不及时修补，可能会严重危害系统。已经发现了三个关键漏洞——CVE-2024-31449、CVE-2024-31227 和 CVE-2024-31228，Redis 已及时发布更新版本来解决这些问题。

这些漏洞中最严重的一个是CVE-2024-31449，CVSS 评分为8.8，可能允许远程攻击者在受影响的系统上执行任意代码。这个严重漏洞源于 Redis 的 Lua 脚本引擎中的边界错误。通过提供特制的 Lua 脚本，攻击者可以触发基于堆栈的缓冲区溢出，从而可能劫持服务器进程并执行恶意命令。

除了远程代码执行漏洞外，Redis 还修补了两个拒绝服务漏洞。CVE-2024-31227（CVSS 评分 4.5）涉及格式错误的访问控制列表 (ACL) 选择器，而 CVE-2024-31228（CVSS 评分 6.5）源于无限制模式匹配。这两个漏洞都允许远程攻击者破坏 Redis 服务器，从而破坏依赖它们的应用程序和服务。

Redis 已在7.4.1、7.2.6和6.2.16版本中修复了这些漏洞。强烈建议用户尽快将其安装更新到这些版本。

鉴于 Redis 的流行程度以及这些漏洞的严重性，我们预计攻击者会积极尝试在野外利用这些漏洞。组织应优先修补其 Redis 实例，以降低被入侵的风险。

https://github.com/redis/redis/releases/tag/7.4.1

https://github.com/redis/redis/releases/tag/7.2.6

https://github.com/redis/redis/releases/tag/6.2.16

原文始发于微信公众号（独眼情报）：二向箔级漏洞>Redis 补丁修复多个漏洞，包括潜在的 RCE（CVE-2024-31449）