【漏洞预警】Redis主从同步代码执行漏洞预警通告

预警编号:NS-2019-0024

2019-07-10

1

漏洞概述

Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

Redis 服务自4.0版本开始，新增加模块系统功能，用户可自行编写代码来扩展和实现redis本身不具备的功能，攻击者在获取到redis访问权限的情况下，可利用此功能向主机实例引入恶意模块，再由Redis的主机实例通过fullresync同步到从机上，再加载恶意.so文件，从而实现恶意代码执行。关于此漏洞的EXP已公开，请相关用户尽快采取临时缓解措施，对此漏洞进行防护。

SEE MORE →

2影响范围

受影响版本

• Redis 4.X
• Redis 5.X

3缓解措施

• 在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上需要设置的密码。（注：密码复杂度需满足要求；修改Redis的配置需要重启Redis才能生效。）
• 禁止使用root权限启动Redis服务；
• 配置redis.conf文件，限制访问Redis服务器的IP地址（bind 127.0.0.1或指定IP地址）。

4漏洞复现

1、在靶机上安装最新版 redis 并正常启动：

2、在攻击机上利用公开的 exp 进行漏洞利用：

靶机redis 对应日志如下图所示：

3、命令执行成功：

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。