預警 | 關于Redis代碼注入漏洞的預警

近日，國家信息安全漏洞庫（CNNVD）收到關于Redis代碼注入漏洞（CNNVD-202202-1622、CVE-2022-0543）情況的報送。成功利用此漏洞的攻擊者，可在目標服務器遠程執行惡意代碼,進而控制目標服務器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。目前，Redis官方已發布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網絡、可基于內存亦可持久化的日志型、鍵值（Key-Value）存儲數據庫。Redis存在代碼注入漏洞,攻擊者可利用該漏洞在未授權的情況下，構造惡意數據執行沙箱逃逸攻擊，最終獲取服務器最高權限。

二、危害影響

成功利用此漏洞的攻擊者，可在目標服務器遠程執行惡意代碼,進而控制目標服務器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。

三、修復建議

	目前，Redis官方已發布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：
	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787

本通報由CNNVD技術支撐單位——華為技術有限公司、深信服科技股份有限公司、長亭科技股份有限公司、北京山石網科信息技術有限公司、新華三技術有限公司、北京知道創宇信息技術股份有限公司、北京華云安信息技術有限公司提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn

（來源：CNNVD）