Redis 服务器曝两个严重的 RCE 漏洞，数百万系统面临风险

在广泛使用的服风险内存数据库Redis里 ，发现了两个严重漏洞，曝两这可能使数百万系统面临拒绝服务（DoS）攻击和远程代码执行（RCE）的个严风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981 ，洞数这凸显了Redis用户面临着重大的百万安全风险，也强调了及时更新和采取缓解措施的系统重要性
。

一、面临CVE - 2024 - 51741：畸形ACL选择器引发的源码下载服风险拒绝服务

CVE - 2024 - 51741这个漏洞影响Redis 7.0.0及以上版本。拥有足够权限的曝两认证用户能够创建一个畸形的访问控制列表（ACL）选择器。

当访问这个畸形选择器时 ，个严服务器就会崩溃，洞数从而进入拒绝服务状态 。百万该问题已在Redis 7.2.7和7.4.2版本中得到修复。系统

Redis用户应马上升级到这些修复后的面临版本，从而保护自己的香港云服务器服风险系统免受可能的利用。此漏洞是由Axel Mierczuk报告的，他为发现这个漏洞做出了贡献 。

二、CVE - 2024 - 46981：Lua脚本执行远程代码

CVE - 2024 - 46981这个漏洞带来的威胁更大，因为它可能导致远程代码执行。这个问题是模板下载由于Redis中Lua脚本功能被滥用而产生的 。认证过的攻击者能够编写恶意的Lua脚本来操纵垃圾收集器 ，进而可能在服务器上执行任意代码。

这个漏洞影响所有开启了Lua脚本功能的Redis版本
。针对Redis 6.2.x 、7.2.x和7.4.x版本已经发布了修补程序 。对于那些不能马上更新的源码库用户，建议通过修改ACL规则来限制“EVAL”和“EVALSHA”命令，从而禁用Lua脚本作为额外的防范措施 。

三、建议措施

1. 升级Redis

用户应该把安装更新到已修复漏洞的版本 ，即针对CVE - 2024 - 51741的7.2.7或7.4.2版本
，以及针对CVE - 2024 - 46981的最新版本 。云计算

2. 限制Lua脚本

作为针对CVE - 2024 - 46981的临时解决办法，通过修改ACL规则阻止“EVAL”和“EVALSHA”命令来禁用Lua脚本。

3. 监控访问控制

要确保只有受信任的用户才能在Redis服务器上执行特权命令 。这些漏洞表明在管理数据库系统时实施强大安全策略是非常关键的。强烈建议Redis用户立即行动起来 
，减轻风险，保护自己的亿华云环境免受潜在的利用。

参考来源：https://cybersecuritynews.com/redis-server-vulnerabilities/

很赞哦!（89685）