CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

admin
admin
admin
138655
文章
114
评论
2025年1月11日12:38:58评论70 views字数 658阅读2分11秒阅读模式

 

流行的内存数据库 Redis 中发现了两个漏洞,数百万用户面临风险。CVE-2024-51741 允许攻击者触发拒绝服务 (DoS) 攻击,而 CVE-2024-46981 可启用远程代码执行 (RCE)。

CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

CVE-2024-51741

CVE-2024-51741 (CVSS 4.4) 是一个 DoS 漏洞,存在于 Redis 7.0.0 及更新版本中。具有足够权限的攻击者可以通过创建格式错误的 ACL 选择器来利用此漏洞,从而导致服务器崩溃。

CVE-2024-46981

CVE-2024-46981(CVSS 7.0)威胁更大,可允许攻击者在服务器上执行任意代码。此漏洞影响所有启用 Lua 脚本的 Redis 版本。通过使用特制的 Lua 脚本,攻击者可以操纵垃圾收集器实现 RCE。

安全建议

强烈建议 Redis 用户立即将其实例更新到最新修补版本。DoS 漏洞 (CVE-2024-51741) 已在7.2.7和7.4.2版本中修复。RCE 漏洞 (CVE-2024-46981) 已在6.2.x、7.2.x 和 7.4.x版本中修复。

作为 CVE-2024-46981 的临时解决方法,用户可以通过使用 ACL 限制 EVAL 和 EVALSHA 命令来禁用 Lua 脚本。但是,建议使用最新更新修补 redis-server 可执行文件。

Redis 用户应优先修补其系统,以避免成为这些严重安全漏洞的受害者。

感谢您抽出

CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

.

CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

.

CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

来阅读本文

CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

点它,分享点赞在看都在这里

原文始发于微信公众号(夜组科技圈):CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日12:38:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-51741 和 CVE-2024-46981:Redis 漏洞使数百万人面临 DoS 和 RCE 风险https://cn-sec.com/archives/3604769.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息