您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNNVD 關(guān)于Redis代碼注入漏洞的預警
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Redis代碼注入漏洞(CNNVD-202202-1622、CVE-2022-0543)情況的報送。成功利用此漏洞的攻擊者,可在目標服務(wù)器遠程執(zhí)行惡意代碼,進而控制目標服務(wù)器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。目前,Redis官方已發(fā)布新版本修復了漏洞,請用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹
Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲數(shù)據(jù)庫。Redis存在代碼注入漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行沙箱逃逸攻擊,最終獲取服務(wù)器最高權(quán)限。
二、危害影響
成功利用此漏洞的攻擊者,可在目標服務(wù)器遠程執(zhí)行惡意代碼,進而控制目標服務(wù)器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。
三、修復建議
目前,Redis官方已發(fā)布新版本修復了漏洞,請用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方鏈接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。聯(lián)系方式: cnnvdvul@itsec.gov.cn
來源:CNNVD安全動態(tài)