關于Redis存在遠程命令執行漏洞的安全公告

(作者: 文章來源:www.cnvd.org.cn 發布日期:2019-07-12 瀏覽數:)

 安全公告編號:CNTA-2019-0024

    2019年7月10日,國家信息安全漏洞共享平臺(CNVD)收錄了Redis遠程命令執行漏洞(CNVD-2019-21763)。攻擊者利用該漏洞,可在未授權訪問Redis的情況下執行任意代碼,獲取目標服務器權限。目前,漏洞利用原理已公開,官方補丁尚未發布。
 
一、漏洞情況分析
 
    Redis是一個開源的使用ANSI C語言編寫、支持網絡、可基于內存亦可持久化的日志型、Key-Value數據庫,并提供多種語言的API。作為一個高性能的key-value數據庫,Redis在部分場景下對關系數據庫起到很好的補充作用。
 
    2019年7月7日,LC/BC的成員Pavel Toporkov在WCTF2019 Final分享會上介紹了Redis新版本的遠程命令執行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模塊功能,攻擊者可通過外部拓展,在Redis中實現一個新的Redis命令。攻擊者可以利用該功能引入模塊,在未授權訪問的情況下使被攻擊服務器加載惡意.so 文件,從而實現遠程代碼執行。
 
    CNVD對該漏洞的綜合評級為“高危”。
 
二、漏洞影響范圍
 
    漏洞影響的產品版本包括:
 
    Redis 2.x,3.x,4.x,5.x
 
三、漏洞處置建議
 
    目前,Redis官方暫未發布補丁,臨時解決方案如下:
 
    1、禁止外部訪問Redis 服務端口;
 
    2、禁止使用root權限啟動Redis服務;
 
    3、配置安全組,限制可連接Redis服務器的IP。
 
    建議使用Redis數據庫的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。
 
 
 
附:參考鏈接:
 
https://paper.seebug.org/975/
 
感謝CNVD技術組成員單位——上海斗象信息科技有限公司為本報告提供的技術支持。

原文地址:https://www.cnvd.org.cn/webinfo/show/5115







 

168彩票网