【漏洞通告】Redis 远程代码执行漏洞(CVE-2021-32761)
发布时间 2021-07-220x00 漏洞概述
CVE ID | CVE-2021-32761 | 时 间 | 2021-07-22 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 高 | 可用性 | 高 |
用户交互 | 无 | 所需权限 | 低 |
PoC/EXP | 未公开 | 在野利用 |
0x01 漏洞详情
Redis 是一个开源的高性能key-value数据库,它在世界范围内被广泛应用。
2021年7月22日, Redis发布安全公告,公开了Redis 32位版本中的一个远程代码执行漏洞(CVE-2021-32761),该漏洞的CVSSv3评分为7.5。
在32位系统上,Redis BITFIELD 命令存在整数溢出漏洞,通过修改默认的proto-max-bulk-len配置参数并构建特制的bit 命令,攻击者可以破坏堆、泄漏任意堆内容或远程执行代码。该漏洞仅影响 32 位版本的 Redis。
影响范围
Redis >=2.2 and < 5.0.13
Redis >=2.2 and < 6.0.15
Redis >=2.2 and < 6.2.5
0x02 处置建议
目前此漏洞已经修复。建议及时更新至Redis 6.2.5、6.0.15、5.0.13或更高版本。
下载链接:
https://github.com/redis/redis
0x03 参考链接
https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj
https://github.com/redis/redis
https://nvd.nist.gov/vuln/detail/CVE-2021-32761
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-07-22 | 首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
0x06 关于我们
关注以下公众号,获取更多资讯:
京公网安备11010802024551号