全部产品
Search
文档中心

【漏洞公告】Redis 配置不当致使 root 被提权漏洞

更新时间: 2018-01-15

漏洞描述

Redis 服务因配置不当,可被攻击者恶意利用。黑客借助 Redis 内置命令,可将现有数据恶意清空;如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登录服务器。

受影响范围

对公网开放,且未启用认证的 Redis 服务器

修复方案

注意:以下操作,均需重启 Redis 后才能生效。

  • 绑定需要访问数据库的 IP。Redis.conf 中的 bind 127.0.0.1 修改为需要访问此数据库的 IP 地址。

  • 设置访问密码。在 Redis.confrequirepass 字段后,设置添加访问密码。

  • 修改 Redis 服务运行账号。以较低权限账号运行 Redis 服务,且禁用该账号的登录权限。