北京赛克艾威科技有限公司 2024-10-07
Redis是一个开源的基于内存亦可持久化的Key\-Value数据库。2024年10月,官方披露 CVE\-2024\-31449 Redis Lua Script 溢出漏洞,经过身份验证的用户可以使用特制的Lua脚本来触发堆栈缓冲区溢出,并可能会导致远程代码执行。官方已发布更新修复,建议升级至最新版本。
1. Redis 官方已发布更新修复,建议升级至最新版本。 2. 利用安全组设置Redis仅对可信地址开放。 3. 应用漏洞暂只支持获取 Redis 自身版本,若您确定已为各发行版本安全修复版本,可予忽略。
https://access.redhat.com/security/cve/CVE-2024-31449
https://github.com/redis/redis/commit/1f7c148be2cbacf7d50aa461c58b871e87cc5ed9
https://github.com/redis/redis/security/advisories/GHSA-whxg-wx83-85p5