漏洞预警
守/护/网/络/安/全
1、漏洞描述
近日,易云科技监测到一则Redis缓冲区溢出可致远程代码执行漏洞。
Redis是美国Redis Labs公司赞助的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
1.漏洞编号:CVE-2024-31449
2.发现时间:2024-10-9
3.漏洞类型:远程代码执行
4.漏洞等级:高危
5.PoC/EXP:未公开
6.在野利用:否
2、漏洞危害
Redis缓冲区溢出漏洞,可致远程代码执行,经过身份验证的用户可能通过精心制作的Lua脚本在位库中触发堆栈缓冲区溢出。
3、受影响版本
Redis 6.2.16、7.2.6或7.4.1之前版本。
4、处置建议
目前,针对Redis堆栈缓冲区溢出导致的远程代码执行漏洞,用户需升级到Redis版本6.2.16、7.2.6或7.4.1或更高版本以修复此问题。请按照以下步骤进行操作:
1.备份当前Redis数据库以防止数据丢失;
2.下载并安装最新版本的Redis,可从官方网站(https://redis.io/download)获取最新版本的安装包;
3.更新Redis配置文件,确保新版本的Redis正确配置;
4.停止当前Redis服务;
5.将旧版本的Redis二进制文件替换为新版本的二进制文件;
6.启动新的Redis服务;
官方产品补丁链接:https://redis.io/download
声明告知
特此说明
本文仅供技术分享之用,请勿进行任何非法测试。对于因传播和利用本公众号"易云安全应急响应中心"所提供的信息而导致的后果和损失,使用者将承担全部责任。本公众号及作者对此不承担任何法律责任。如有侵权,请及时告知,我们将立即删除并致以诚挚的歉意。
END
秋风萧瑟 落叶纷飞
点个