Redis（32位）远程代码执行漏洞预警（CVE-2021-32761）

2021-07-22

一、概要

近日，华为云关注到Redis官方发布安全公告，披露在32 位版本的Redis上，BITFIELD命令容易受到整数溢出的影响，攻击者利用漏洞通过构造特制的命令可造成整数溢出，触发远程代码执行。漏洞仅影响32位版本的Redis。

Redis 是当前互联网世界最为流行的存储数据库。华为云提醒使用32位Redis的用户及时安排自检并做好安全加固。

参考链接：https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Redis >2.2 且 < 5.0.13

Redis >2.2 且 < 6.0.15

Redis >2.2 且 < 6.2.5

安全版本：

5.0.13

6.0.15

6.2.5

四、安全建议

1、目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本。

2、无法及时升级的用户可根据Redis官方提供的建议，通过禁用BITFIELD 命令进行缓解，这可以在 Redis 6.0 及更高版本中使用 ACL 来完成。

3、替换成64位的Redis。

注：修复漏洞前请将资料备份，并进行充分测试。