2019年7月09日,阿里雲應急響應中心監測到有安全研究人員披露Redis 4.x/5.x 遠程命令執行高危漏洞利用代碼工具。針對未授權或弱口令的Redis服務,攻擊者通過構造特定請求,成功利用漏洞可在目標服務器上執行任意命令,風險極大。
漏洞描述
在Reids 4.x之后,Redis新增了模塊功能特性,通過外部拓展,可以實現新的Redis命令,通過寫c語言並編譯出.so文件,可實現代碼執行漏洞。阿里雲應急響應中心提醒Redis用戶盡快采取安全措施阻止漏洞攻擊。
影響版本
Redis 4.x
Redis 5.x
漏洞復現:
這里以內網一台Redis進行測試
使用公開的exp
https://github.com/n0b0dyCN/redis-rogue-server
