【高危】- 32位Redis远程代码执行漏洞
■ 漏洞描述
Redis是世界范围内应用最广泛的内存型高速键值对数据库。Redis中存在一处整形溢出漏洞,并可能导致内存越界读。Redis*BIT*命令与proto-max-bulk-len配置参数结合的情况下能够造成整形溢出,最终导致远程代码执行。
■ 影响范围
受影响Redis版本如下:
>2.2/<5.0.13
>2.2/<6.0.15
>2.2/<6.2.5
■ 漏洞检测
匹配版本号,看是否在漏洞影响范围内,是否存在Redis未授权。
■ 漏洞修复
1. Redis增加鉴权,禁止未授权访问;
2. 目前官方已发布公告与安全版本,建议升级至安全版本。
■ 临时修复
禁止低权限用户使用CONFIG SET指令。
■ 漏洞详情
攻击者通过*BIT*命令与proto-max-bulk-len配置参数结合的情况下,可攻击运行在32位的系统中的32位的Redis程序,该漏洞能够造成整形溢出,并最终导致远程代码执行。
Redis是世界范围内应用最广泛的内存型高速键值对数据库。Redis中存在一处整形溢出漏洞,并可能导致内存越界读。Redis*BIT*命令与proto-max-bulk-len配置参数结合的情况下能够造成整形溢出,最终导致远程代码执行。
■ 影响范围
受影响Redis版本如下:
>2.2/<5.0.13
>2.2/<6.0.15
>2.2/<6.2.5
■ 漏洞检测
匹配版本号,看是否在漏洞影响范围内,是否存在Redis未授权。
■ 漏洞修复
1. Redis增加鉴权,禁止未授权访问;
2. 目前官方已发布公告与安全版本,建议升级至安全版本。
■ 临时修复
禁止低权限用户使用CONFIG SET指令。
■ 漏洞详情
攻击者通过*BIT*命令与proto-max-bulk-len配置参数结合的情况下,可攻击运行在32位的系统中的32位的Redis程序,该漏洞能够造成整形溢出,并最终导致远程代码执行。