Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。 Redis存在安全漏洞。攻击者利用该漏洞使用特制的Lua脚本触发堆栈缓冲区溢出漏洞,从而远程执行代码。
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/redis/redis/releases
2. 临时缓解方案:
- 利用安全组设置Redis仅对可信地址开放。
- 强制对Redis实例的所有访问使用凭据。
- 设置用户权限,仅允许受信任的身份运行Lua脚本或任何其他潜在危险的命令。
参考地址
https://github.com/redis/redis/security/advisories/GHSA-whxg-wx83-85p5,https://github.com/redis/redis/commit/1f7c148be2cbacf7d50aa461c58b871e87cc5ed9
CVE编号:CVE-2024-31449