本文共 840 字,大约阅读时间需要 2 分钟。
点击蓝色“程序猿DD”关注我
回复“资源”获取独家整理的学习资料!
来源:CNVD漏洞平台
安全公告编号:CNTA-2019-0024
2019年7月10日,国家信息安全漏洞共享平台(CNVD)收录了Redis远程命令执行漏洞(CNVD-2019-21763)。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。目前,漏洞利用原理已公开,官方补丁尚未发布。
一、漏洞情况分析
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。作为一个高性能的key-value数据库,Redis在部分场景下对关系数据库起到很好的补充作用。
2019年7月7日,LC/BC的成员Pavel Toporkov在WCTF2019 Final分享会上介绍了Redis新版本的远程命令执行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
Redis 2.x,3.x,4.x,5.x
三、漏洞处置建议
目前,Redis官方暂未发布补丁,临时解决方案如下:
禁止外部访问Redis 服务端口
禁止使用root权限启动Redis服务
配置安全组,限制可连接Redis服务器的IP
建议使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
附:参考链接:https://paper.seebug.org/975/
推荐阅读:
“自律到极致 - 人生才精致:第10期”
明日奉上,关注我!不错过本次签到活动!
2019
与大家聊聊技术人的斜杠生活
点一点“阅读原文”小惊喜在等你
转载地址:https://didispace-wx.blog.csdn.net/article/details/95685703 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
关于作者
