尊敬的用户
2019年7月9日,Redis 4.x/5.x 基于未授权访问的远程命令执行漏洞利用工具被公开和传播,针对脆弱的Redis服务,会导致服务器被直接入侵,需要立即修复。
【漏洞描述】
由于 Redis 4.x 及以上版本新增了模块功能,通过加载外部扩展,可以在 Redis 中实现一个新的 Redis 命令,攻击者可利用引入的模块使受害服务器加载恶意程序,入侵并控制服务器。
【漏洞评级】
高危
【受影响范围】
Redis 4.x
Redis 5.x
【安全建议】
1.以低权限运行 Redis 服务,为 Redis 服务创建独立账户,并且配置禁止登陆
2.禁止外网访问 Redis 服务,修改 redis.conf 文件,只在当前主机可用
3.安全组设置,如需要被其他服务器来访问,仅允许指定的IP来访问Redis服务
4.强口令设置,Redis服务必须开启密码认证,并设置强密码8位以上包含多种字符
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
