漏洞描述

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。作为一个高性能的key-value数据库，Redis在部分场景下对关系数据库起到很好的补充作用。

漏洞编号

CNVD-2019-21763

漏洞危害

攻击者可通过外部拓展，在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块，在未授权访问的情况下使被攻击服务器加载恶意.so 文件，从而实现远程代码执行。

建议使用Redis数据库的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。

漏洞等级

高危
受影响版本

Redis 2.x，3.x，4.x，5.x

修复方案

目前，Redis官方暂未发布补丁，临时解决方案如下：

1、禁止外部访问Redis 服务端口；

2、禁止使用root权限启动Redis服务；

3、配置安全组，限制可连接Redis服务器的IP。