Redis 未授权访问漏洞

风险描述

Redis服务器在没有进行适当的身份验证和访问控制的情况下，攻击者可读取Redis中存储的所有数据，包括敏感信息，或者配合其他漏洞造成代码执行，控制服务器。

漏洞详情：https://avd.aliyun.com/detail/AVD-02021-0344

修复建议

1、设置访问密码。在redis.conf配置文件中，去掉requirepass参数前的注释，并设置复杂密码，如同时包含大小写字母、数字和特殊字符的长密码组合。保存后重启Redis服务。

2、限制外部访问（可选）。

• 限定监听IP。在redis.conf配置文件中，将bind参数配置为本地地址（127.0.0.1）或特定可信IP。

• 设置白名单分组和ECS安全组，详见《设置IP白名单》。

3、修复验证。在完成配置修改后，前往安全管控-安全体检，重新检测漏洞，确认是否成功修复。

若您在修复过程中遇到任何困难或有其他相关疑问，可前往安全管控，在更多安全服务板块点击提交工单，联系技术工程师获取支持。