32位Redis遠程代碼執行漏洞（CVE‐2021‐32761）預警

VSole2021-07-23 17:24:08

一、漏洞情況

7月22日，Redis官方發布了Redis遠程代碼執行漏洞的風險通告，漏洞編號為CVE-2021-32761。攻擊者可利用該漏洞執行遠程代碼。目前Redis已發布安全版本修復該漏洞，建議受影響用戶及時升級到安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Redis（Remote Dictionary Server )即遠程字典服務，是一個開源的使用ANSI C語言編寫、支持網絡、可基于內存亦可持久化的日志型、Key-Value數據庫，并提供多種語言的API。

Redis中存在一處整形溢出漏洞，可能導致內存越界讀。在Redis*BIT*命令與proto-max-bulk-len配置參數結合的情況下能夠造成整數溢出，可能導致堆內存破壞、泄露堆數據，最終導致遠程代碼執行。

四、影響范圍

五、安全建議

1. 建議受影響用戶及時升級至5.0.13，6.0.15，6.2.5或更高版本進行防護。

下載鏈接：

https://github.com/redis/redis

2. 臨時緩解方法：

1）禁止低權限用戶使用CONFIGSET指令

2）替換為64位的Redis程序

六、參考鏈接

遠程代碼執行漏洞redis

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接