【注意】关于Redis存在远程命令执行漏洞的安全公告
点击蓝色“程序猿DD”关注我
回复“资源”获取独家整理的学习资料!
来源:CNVD漏洞平台
安全公告编号:CNTA-2019-0024
2019年7月10日,国家信息安全漏洞共享平台(CNVD)收录了Redis远程命令执行漏洞(CNVD-2019-21763)。攻击者利用该漏洞,可在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。目前,漏洞利用原理已公开,官方补丁尚未发布。
一、漏洞情况分析
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。作为一个高性能的key-value数据库,Redis在部分场景下对关系数据库起到很好的补充作用。
2019年7月7日,LC/BC的成员Pavel Toporkov在WCTF2019 Final分享会上介绍了Redis新版本的远程命令执行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
Redis 2.x,3.x,4.x,5.x
三、漏洞处置建议
目前,Redis官方暂未发布补丁,临时解决方案如下:
禁止外部访问Redis 服务端口
禁止使用root权限启动Redis服务
配置安全组,限制可连接Redis服务器的IP
建议使用Redis数据库的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
附:参考链接:https://paper.seebug.org/975/
推荐阅读:
阿里云Redis开发规范
Redis作者的公开信:开源维护者的挣扎和无奈
Redisson实现Redis分布式锁的N种姿势
百亿数据量下,掌握这些Redis技巧你就能Hold全场
Redis几个重要的健康指标
“自律到极致 - 人生才精致:第10期”
明日奉上,关注我!不错过本次签到活动!
2019
与大家聊聊技术人的斜杠生活
点一点“阅读原文”小惊喜在等你
【注意】关于Redis存在远程命令执行漏洞的安全公告相关推荐
- CNCERT:关于Spring框架存在远程命令执行漏洞的安全公告
安全公告编号:CNTA-2022-0009 2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942).攻击者利用该漏洞,可在未 ...
- webmin远程命令执行漏洞(cve-2019-15107)深入分析
漏洞描述 近日Webmin被发现存在一处远程命令执行漏洞,经过分析后,初步猜测其为一次后门植入事件. Webmin是目前功能最强大的基于Web的Unix系统管理工具.管理员通过浏览器访问Webmin的 ...
- rmi远程反序列化rce漏洞_Oracle WebLogic 反序列化远程命令执行漏洞预警
报告编号:B6-2019-041901 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-04-19 0x00 事件背景 2019年4月17日,国家信息安全漏洞共享平台(CN ...
- jenkins java反序列化_Jenkins “Java 反序列化”过程远程命令执行漏洞
###漏洞原理 反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象.在原博文所提到的那些 Java ...
- ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
ThinkPHP 5.0.x.5.1.x.5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速.兼容而且简单的轻量级国产PHP开发框架.借鉴Struts框架的Action对象,同 ...
- 远程执行漏洞修复方案_请马上修复!SaltStack远程命令执行漏洞
[漏洞预警]SaltStack远程命令执行漏洞(CVE-2020-11651.CVE-2020-11652) 2020年5月3日,阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在 ...
- 又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文 ...
- 详述WebLogic反序列化远程命令执行漏洞的处理过程,云和恩墨技术通讯精选
各位亲爱的用户/读者朋友们: 为了及时共享行业案例,通告共性问题,达成知识共享和提前预防,我们整理和编辑了<云和恩墨技术通讯>(5月刊),通过对过去一段时间的知识回顾和故障归纳,以期提供有 ...
- 紧急:Spring框架被爆出存在0day级别远程命令执行漏洞。漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响。该漏洞目前无官方修复补丁
Spring框架被爆出存在0day级别远程命令执行漏洞.漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响. 漏洞信息和漏洞影响排查方法如下: 漏洞名称 ...
最新文章
- struts2中 ServletActionContext与ActionContext区别
- 长期分享干货的技术大佬
- 怎样封装一个自己的mvc框架(七)
- 声光调制器实验研究_脉冲光抽运原子钟研究取得进展
- 数字电路反相器符号_数字电路の门电路(1)
- 批改网禁止粘贴怎么破_教育部对家长批改作业表态了,明令禁止!你怎么看?...
- 不愿意和别人打交道_参加完孩子学校的运动会,宝妈吐槽贫富圈子差距大,不适合打交道...
- [2018-2019上] 第一次过程性考核成绩
- iOS camera 相关
- spring-retry重试与熔断详解—《亿级流量》内容补充
- (转)Linux系统中sysctl命令详解 sysctl -p、sysctl -a、sysctl -w
- 管理新语:搞绩效考评需谨慎,切勿随意
- 万圣节字体来啦!6款风格奇幻的中文字体免费下载
- [和秋叶一起学ppt]四步搞定ppt风格标准化(笔记)
- Multisim14基本介绍(上)
- 计算机二级C语言题库(44套真题+刷题软件)第二套
- 神经网络压缩 剪枝 量化 嵌入式计算优化NCNN mobilenet squeezenet shufflenet
- html dom 触发等事件
- Knockout.js----使用计算属性(Computed Observable)
- 程序员之间的战争 战场是用户电脑