漏洞描述

7月10日，互联网爆出Redis远程命令执行漏洞。Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。攻击者利用该漏洞，可在未授权访问Redis的情况下执行任意代码，获取目标服务器权限。

该漏洞危害程度为高危(High)。经过分析，在Reids 4.x及以上版本中新增了模块功能，攻击者可通过外部拓展，在两个Redis实例设置主从模式，Redis的主机实例可以通过FULLRESYNC同步文件到从机上，然后在从机上加载so文件，这样就可以执行拓展的新命令了。目前，漏洞利用原理已公开，官方补丁尚未发布。

影响范围

受影响版本

Redis 4.X

Redis 5.X

漏洞详情

攻击者在获取到Redis授权访问漏洞的情况下，可以利用新增功能引入模块，使被攻击服务器中加载恶意的.so文件，从而实现恶意代码执行。若Redis为4.0以下版本（2.x，3.x），同时Redis-server以root权限启动，则攻击者可在服务器上创建任意文件。

缓解措施（安全建议）

在conf 配置文件中找到“requirepass”字段，取消注释并在后面填上需要设置的密码。（注：密码复杂度需满足要求；修改Redis的配置需要重启Redis才能生效。）

禁止使用root权限启动Redis服务；

如Redis只需本机访问，配置conf文件，限制访问Redis服务器的IP地址（bind 127.0.0.1或指定IP地址）