2019年7月9日、アリクラウド緊急対応センター高リスクでのRedisの4.x / 5.xのリモートコマンドの実行を開示するセキュリティ研究者を監視するためには、コードのツールを利用します。不正または弱いパスワードRedisのサービス、特定の要求を構築することにより、攻撃者のために、脆弱性が正常に危険な、ターゲット・サーバー上で任意のコマンドを実行するために悪用される可能性があります。
脆弱性の説明
レイズ4.xでは、Redisの新しいモジュールの機能、外部拡張した後、新しいRedisのコマンドは、C言語を記述することによって達成することができ、ファイルの.soコンパイル、コードが実行される脆弱性を達成することができます。アリクラウドRedisの緊急時対応センターできるだけ早く悪用を防ぐためのセキュリティ対策を取るために、ユーザーを思い出させます。
バージョンに影響を及ぼし
Redisの4.xの
Redisの5.xの
脆弱性の再現:
ここではネットワークのRedis以内に試験
オープンEXPを使用し
https://github.com/n0b0dyCN/redis-rogue-serverを