Redis服务器曝2个严峻的RCE弊端，数百万系统面对风险

在广泛使用的内存数据库Redis里，发现了两个严峻弊端，这大概使数百万系统面对拒绝服务（DoS）攻击和远程代码实行（RCE）的风险。这些弊端被标记为CVE - 2024 - 51741和CVE - 2024 - 46981，这凸显了Redis用户面对着巨大的安全风险，也强调了及时更新和接纳缓解步伐的告急性。

一、CVE - 2024 - 51741：畸形ACL选择器引发的拒绝服务

CVE - 2024 - 51741这个弊端影响Redis 7.0.0及以上版本。拥有足够权限的认证用户可以或许创建一个畸形的访问控制列表（ACL）选择器。
当访问这个畸形选择器时，服务器就会崩溃，从而进入拒绝服务状态。该问题已在Redis 7.2.7和7.4.2版本中得到修复。
Redis用户应马上升级到这些修复后的版本，从而掩护自己的系统免受大概的使用。此弊端是由Axel Mierczuk报告的，他为发现这个弊端做出了贡献。
二、CVE - 2024 - 46981：Lua脚本实行远程代码

CVE - 2024 - 46981这个弊端带来的威胁更大，因为它大概导致远程代码实行。这个问题是由于Redis中Lua脚本功能被滥用而产生的。认证过的攻击者可以或许编写恶意的Lua脚原来操纵垃圾收集器，进而大概在服务器上实行恣意代码。
这个弊端影响所有开启了Lua脚本功能的Redis版本。针对Redis 6.2.x、7.2.x和7.4.x版本已经发布了修补步调。对于那些不能马上更新的用户，建议通过修改ACL规则来限制“EVAL”和“EVALSHA”命令，从而禁用Lua脚本作为额外的防范步伐。
三、建议步伐

1. 升级Redis
用户应该把安装更新到已修复弊端的版本，即针对CVE - 2024 - 51741的7.2.7或7.4.2版本，以及针对CVE - 2024 - 46981的最新版本。
2. 限制Lua脚本
作为针对CVE - 2024 - 46981的临时办理办法，通过修改ACL规则阻止“EVAL”和“EVALSHA”命令来禁用Lua脚本。
3. 监控访问控制
要确保只有受信任的用户才能在Redis服务器上实行特权命令。这些弊端表明在管理数据库系统时实施强大安全策略是非常关键的。强烈建议Redis用户立刻行动起来，减轻风险，掩护自己的环境免受潜伏的使用。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。