威胁研究正文

32位Redis远程代码执行漏洞(CVE-2021-32761)风险通告,腾讯安全专家建议用户尽快升级

2021-07-22 04:27:19

2021年07月22日,Redis官方发布Redis远程代码执行漏洞的风险通告。Redis中存在一处整形溢出漏洞,并可能导致内存越界读。Redis*BIT*命令与proto-max-bulk-len配置参数结合的情况下能够造成整形溢出,最终导致远程代码执行,攻击者利用漏洞可以完全接管服务器。

漏洞描述:

2021年07月22日,Redis官方发布Redis远程代码执行漏洞的风险通告。


Redis中存在一处整形溢出漏洞,并可能导致内存越界读。Redis*BIT*命令与proto-max-bulk-len配置参数结合的情况下能够造成整形溢出,最终导致远程代码执行,攻击者利用漏洞可以完全接管服务器。


腾讯安全专家建议受影响的用户及时将Redis升级到最新版本,避免服务器沦为黑产控制的肉鸡。


Redis是世界范围内应用最广泛的内存型高速键值对数据库。


漏洞编号:

CVE-2021-32761


漏洞等级:高危,CVSS评分:8.5。


受影响的版本:

Redis >2.2/<5.0.13

Redis >2.2/<6.0.15

Redis >2.2/<6.2.5


安全版本:

Redis >= 5.0.13

Redis >= 6.0.15

Redis >= 6.2.5


漏洞修复建议:

腾讯安全专家建议受影响的用户将Redis升级到安全版本。


临时修补建议:

- 禁止低权限用户使用CONFIG SET指令

- 替换为64位的Redis程序


参考链接:

https://github.com/redis/redis/releases/tag/5.0.13


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

在线咨询