2019年7月9日,阿里云应急响应中心监测到Redis存在远程命令执行漏洞。经过测试发现,Redis 4.0及5.0以上版本均受漏洞影响。漏洞产生的原因是在Reids 4.0版本之后Redis新增了模块功能,且在4.0以上版本默认支持。通过外部拓展,可以在Redis中实现一个新的Redis命令,并通过C语言编译出的.so文件执行系统命令,风险极高。

影响范围:Redis 4.0及5.0以上版本

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

规则类型:命令执行

安全建议:使用云防火墙的入侵防御功能进行安全防护。