Redis配置不当致使root被提权漏洞

Dear all~

最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,请关注!

一、漏洞发布日期

2015年11月10日

二、已确认被成功利用的软件及系统

对公网开放,且未启用认证的redis服务器。

三、漏洞描述

最近Redis服务被曝出因配置不当,被攻击者进行恶意利用。 
黑客借助redis内置命令,可以对现有数据进行恶意清空。 
如果Redis以root身份运行,黑客可往服务器上写入SSH公钥文件,直接登录服务器。

四、建议修复方案(需要重启redis才能生效)

1、绑定需要访问数据库的IP 
修改 redis.conf 中的 “bind 127.0.0.1” ,改成需要访问此数据库的IP地址。

2、设置访问密码 
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码。

3、修改redis服务运行账号 
请以较低权限账号运行redis服务,且禁用该账号的登录权限。

Redis配置不当致使root被提权漏洞相关推荐

  1. 9月29 Redis配置不当致使root被提权漏洞 | Found a swap file by the name swp

    1.Redis配置不当致使root被提权漏洞 建议修复方案(需要重启redis才能生效) 1.绑定需要访问数据库的IP 修改 redis.conf 中的 "bind 127.0.0.1&qu ...

  2. Redis 配置不当致使 root 被提权漏洞

    漏洞描述 Redis 服务因配置不当,可被攻击者恶意利用.黑客借助 Redis 内置命令,可将现有数据恶意清空:如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登 ...

  3. Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令

    Linux 用户请注意!根据外媒的报道,Linux sudo 被曝出存在一个提权漏洞,可完全绕过 sudo 的安全策略. 先简单说明一下情况,报道指出 sudo 存在一个安全策略隐患,即便" ...

  4. bartender的安全策略不允许指定的用户执行此操作_Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令

    即便 /etc/sudoers 配置文件中明确表明不允许以 root 用户进行访问,但通过该漏洞,恶意用户或程序仍可在目标 Linux 系统上以 root 用户身份执行任意命令. 译自: https: ...

  5. Metasploit上使用RPC方式复现一个Linux提权漏洞

    序 学习了几天pwn的栈溢出知识后,收到了期待已久的任务--在metasploit上使用RPC的方式复现一个Linux提权漏洞,学长说这是一个偏向探索性质的,为了督促自己和提高效率,利用这种方式记录下 ...

  6. 开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 7月份,一名匿名研究员向 ZDI 报告了 FreeBSD 中的一个本地提权漏洞.它位于 FreeBSD 的文件传输协议守护进程 (ft ...

  7. 开源操作系统 OpenBSD 被曝四个严重的认证绕过和提权漏洞(详情)

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 具有安全基因.免费.基于 BSD 的类 Unix 开源操作系统 OpenBSD 被指存在四个高危安全漏洞.其中一个是存在于 BSD A ...

  8. 【漏洞复现】 Sudo缓存溢出提权漏洞(CVE-2021-3156)

    说明:此博客为本人的漏洞复现学习过程记录 前言 漏洞原理:本次的漏洞存在于Sudo上--一个基于堆的缓冲区溢出漏洞(CVE-2021-3156,该漏洞被命名为"Baron Samedit&q ...

  9. Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328

    Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328 文章目录 Linux Privilege Esca ...

最新文章

  1. python实现简单的用户密码登录控制(输入三次就锁定用户)
  2. java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z
  3. Java三大特性之封装
  4. 中国新能源商用车行业投资现状及前景规划分析报告2022-2027年版
  5. Linux环境下安装PHP的memced扩展
  6. php中unset面试题,php unset和引用——由一道php面试题引发的思考
  7. FastDFS java api调用
  8. java中asl_带你认识绕不开的ASLR
  9. java 看书浏览器官_JAVA读取文件流,设置浏览器下载或直接预览操作
  10. gm21模型python_python使用GM11
  11. Matplotlib 中文用户指南 3.1 pyplot 教程
  12. Layui字体图标大全
  13. 如何使用DDMS Heap查看Android应用内存情况
  14. 对应阻尼下的开环增益matlab,自动控制原理实验指导书MATLAB版解析.doc
  15. 推荐一个在线免费将word转换成pdf文件的方法
  16. Rect 和 Bounds
  17. 网贷魔爪再次伸向大学生,欠款账号真的能注销吗?
  18. 钓鱼网站+邮件诈骗 实例分析
  19. 已解决ValueError: Worksheet named ‘Sheet‘ not found
  20. DLink624+A拨号失败的问题

热门文章

  1. 累涨超200%成华尔街新宠 Fastly借边缘云有望冲上“云”霄?
  2. vb.net 教程 序
  3. 笔记 GWAS 操作流程2-4:哈温平衡检验
  4. Duplicated tag: ‘mirrors‘ (position: START_TAG seen ...erred\r\n
  5. 北京大学计算机学院,官宣首任院长
  6. MOS管的工作原理和区分
  7. Transformer 详解(上) — 编码器【附pytorch代码实现】
  8. 如何避免开车视觉盲区
  9. 仿网易侧滑Demo-简单易懂好上手
  10. 深度详解什么是SaaS(软件即服务)