服务公告

全部公告 > 安全公告 > 关于Redis 存在新的远程命令执行漏洞预警

关于Redis 存在新的远程命令执行漏洞预警

2019-07-10

一、概要

近日,华为云关注到有安全人员披露Redis 存在新的远程命令执行漏洞,攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,并远程控制目标服务器。在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。请用户按下文处置方案进行安全加固以缓解漏洞风险。

参考链接:https://paper.seebug.org/975/

利用分析:https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响的产品版本包括:

Redis 2.x,3.x,4.x,5.x

四、处置方案

目前,Redis官方暂未发布补丁,临时解决方案如下:

1、禁止外部访问Redis 服务端口;

2、禁止使用root权限启动Redis服务;

3、配置安全组,限制可连接Redis服务器的IP。

建议使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

注:修复漏洞前请将资料备份,并进行充分测试。