【漏洞详情】

由于 Redis 4.x 及以上版本新增了模块功能，通过加载外部扩展，可以在 Redis 中实现新的 Redis 命令。针对未授权或弱口令的Redis服务，攻击者可利用此漏洞加载恶意so文件，成功利用漏洞可在目标服务器上执行任意命令，风险较大。

【风险评级】

高危

【影响范围】

Redis 4.x

Redis 5.x

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，可通过以上策略修复此漏洞：

1）关闭 Redis 服务端口对外访问，或设置限定访问IP白名单；

2）配置认证(AUTH)，设置强认证密码；

3）禁止使用 root 权限启动 redis 服务。

【参考链接】

http://news.ssssafe.com/archives/2245

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2019年7月10日