关于Redis 存在新的远程命令执行漏洞预警

一、概要

近日，华为云关注到有安全人员披露Redis 存在新的远程命令执行漏洞，攻击者利用该漏洞，可在未授权访问Redis的情况下执行任意代码，并远程控制目标服务器。在Reids 4.x之后，Redis新增了模块功能，通过外部拓展，可以实现在Redis中实现一个新的Redis命令，通过写C语言编译并加载恶意的.so文件，达到代码执行的目的。请用户按下文处置方案进行安全加固以缓解漏洞风险。

参考链接：https://paper.seebug.org/975/

利用分析：https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响的产品版本包括：

Redis 2.x，3.x，4.x，5.x

四、处置方案

目前，Redis官方暂未发布补丁，临时解决方案如下：

1、禁止外部访问Redis 服务端口；

2、禁止使用root权限启动Redis服务；

3、配置安全组，限制可连接Redis服务器的IP。

建议使用Redis数据库的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。

注：修复漏洞前请将资料备份，并进行充分测试。