大工网安告[2025002]

一、 情况分析

Redis（Remote Dictionary Server），即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

近日，公布的两个Redis严重漏洞被标记为(CVE-2024-51741)和(CVE-2024-46981)，其中(CVE-2024-51741)是畸形ACL选择器引发的拒绝服务漏洞，拥有足够权限的认证用户创建一个畸形的访问控制列表（ACL）选择器，当访问这个畸形选择器时，服务器就会崩溃，从未进入拒绝服务状态；(CVE-2024-46981)是Lua脚本执行远程代码漏洞，这个漏洞是由于Redis中Lua脚本功能被滥用而产生的，认证过的攻击者能够编写恶意的Lua脚本来操纵垃圾收集器，进而可能在服务器上执行任意代码。

威胁类型：拒绝服务、远程代码执行。

利用条件：权限用户。

危害描述：攻击者可能通过创建畸形ACL选择器，导致服务器崩溃；编写恶意Lua脚本操纵垃圾收集器，来执行任意代码.

鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

二、 影响版本

CVE-2024-51741影响版本：Redis7.0.0及以上版本；

CVE-2024-46981影响版本：所有开启了Lua脚本功能的Redis版本；

三、 处置建议

1、升级Redis

用户应该安装更新到已修复漏洞的版本：

针对(CVE-2024-51741)的7.2.7和7.4.2版本；

针对(CVE-2024-46981)的6.2.x、7.2.x和7.4.x版本。

2、限制Lua脚本

作为针对(CVE-2024-46981)的临时解决办法，通过修改ACL规则阻止“EVAL”和“EVALSHA”命令来禁用Lua脚本。

3、监控访问控制

确保只有受信任的用户才能在Redis服务器上执行特权命令。