Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险

admin 2025年1月9日21:33:02评论16 views字数 1049阅读3分29秒阅读模式

Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险

关键词

安全漏洞

在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981,这凸显了Redis用户面临着重大的安全风险,也强调了及时更新和采取缓解措施的重要性。

Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险

一、CVE - 2024 - 51741:畸形ACL选择器引发的拒绝服务

CVE - 2024 - 51741这个漏洞影响Redis 7.0.0及以上版本。拥有足够权限的认证用户能够创建一个畸形的访问控制列表(ACL)选择器。

当访问这个畸形选择器时,服务器就会崩溃,从而进入拒绝服务状态。该问题已在Redis 7.2.7和7.4.2版本中得到修复。

Redis用户应马上升级到这些修复后的版本,从而保护自己的系统免受可能的利用。此漏洞是由Axel Mierczuk报告的,他为发现这个漏洞做出了贡献。

二、CVE - 2024 - 46981:Lua脚本执行远程代码

CVE - 2024 - 46981这个漏洞带来的威胁更大,因为它可能导致远程代码执行。这个问题是由于Redis中Lua脚本功能被滥用而产生的。认证过的攻击者能够编写恶意的Lua脚本来操纵垃圾收集器,进而可能在服务器上执行任意代码。

这个漏洞影响所有开启了Lua脚本功能的Redis版本。针对Redis 6.2.x、7.2.x和7.4.x版本已经发布了修补程序。对于那些不能马上更新的用户,建议通过修改ACL规则来限制“EVAL”和“EVALSHA”命令,从而禁用Lua脚本作为额外的防范措施。

三、建议措施

1. 升级Redis

用户应该把安装更新到已修复漏洞的版本,即针对CVE - 2024 - 51741的7.2.7或7.4.2版本,以及针对CVE - 2024 - 46981的最新版本。

2. 限制Lua脚本

作为针对CVE - 2024 - 46981的临时解决办法,通过修改ACL规则阻止“EVAL”和“EVALSHA”命令来禁用Lua脚本。

3. 监控访问控制

要确保只有受信任的用户才能在Redis服务器上执行特权命令。这些漏洞表明在管理数据库系统时实施强大安全策略是非常关键的。强烈建议Redis用户立即行动起来,减轻风险,保护自己的环境免受潜在的利用。

参考来源:https://cybersecuritynews.com/redis-server-vulnerabilities/

   END  

原文始发于微信公众号(安全圈):【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月9日21:33:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险http://cn-sec.com/archives/3612436.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息