基本信息
风险等级: 高危
漏洞类型: 远程代码执行
漏洞利用: 暂无
漏洞编号:
CVE-2021-32761
漏洞描述
近日,飓风安全团队监测到Redis官方发布了Redis远程代码执行漏洞的风险通告,漏洞编号为CVE-2021-32761;攻击者通过*BIT*命令与proto-max-bulk-len配置参数结合的情况下,可攻击运行在32位的系统中的32位的Redis程序,该漏洞能够造成整形溢出,并最终导致远程代码执行。
【受影响版本】
-
2.2 < Redis Redis < 5.0.13
-
2.2 < Redis Redis < 6.0.15
-
2.2 < Redis Redis < 6.2.5
【安全版本】
-
Redis Redis 5.0.13
-
Redis Redis 6.0.15
-
Redis Redis 6.2.5
Redis是世界范围内应用最广泛的内存型高速键值对数据库。
影响范围
2.2 < Redis Redis < 5.0.13,2.2 < Redis Redis < 6.0.15,2.2 < Redis Redis < 6.2.5
解决方案
修复建议
临时修复建议:
1、禁止低权限用户使用CONFIG SET指令
2、替换为64位的Redis程序
通用修复建议:
根据影响版本中的信息,排查并升级到安全版本,下载链接:
https://github.com/redis/redis/releases
本文始发于微信公众号(飓风网络安全):【漏洞通告】Redis 存在远程代码执行漏洞 (CVE-2021-32761)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论