本文作者:清夜

【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞

清夜 5个月前 ( 06-13 ) 32 抢沙发
【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞摘要: 2019年7月09日,阿里云应急响应中心监测到有安全研究人员披露Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具。针对未授权或弱口令的Redis服务,攻击者通过构造特定...

2019年7月09日,阿里云应急响应中心监测到有安全研究人员披露Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具。针对未授权或弱口令的Redis服务,攻击者通过构造特定请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。

 

漏洞描述

在Reids 4.x之后,Redis新增了模块功能特性,通过外部拓展,可以实现新的Redis命令,通过写c语言并编译出.so文件,可实现代码执行漏洞。阿里云应急响应中心提醒Redis用户尽快采取安全措施阻止漏洞攻击。

 

影响版本

Redis 4.x

Redis 5.x

 

漏洞复现:

这里以内网一台Redis进行测试

使用公开的exp
https://github.com/n0b0dyCN/redis-rogue-server

文章版权及转载声明

作者:清夜本文地址:https://blog.youngxq.cn/post/422.html发布于 5个月前 ( 06-13 )
文章转载或复制请以超链接形式并注明出处清夜博客

阅读
分享

发表评论

快捷回复:

验证码

评论列表 (暂无评论,32人围观)参与讨论

还没有评论,来说两句吧...