服务公告
关于Redis 存在新的远程命令执行漏洞预警
2019-07-10
一、概要
近日,华为云关注到有安全人员披露Redis 存在新的远程命令执行漏洞,攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,并远程控制目标服务器。在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。请用户按下文处置方案进行安全加固以缓解漏洞风险。
参考链接:https://paper.seebug.org/975/
利用分析:https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响的产品版本包括:
Redis 2.x,3.x,4.x,5.x
四、处置方案
目前,Redis官方暂未发布补丁,临时解决方案如下:
1、禁止外部访问Redis 服务端口;
2、禁止使用root权限启动Redis服务;
3、配置安全组,限制可连接Redis服务器的IP。
建议使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
注:修复漏洞前请将资料备份,并进行充分测试。