Redis 4.x/5.x和fastjson<1.2.51远程代码执行漏洞

转载   阿里云公告  2019-07-11 22:24:50  74 人阅读  1 条评论

今天看到阿里云应急响应中心发布了《Redis 4.x/5.x 远程命令执行高危漏洞》和《fastjson < 1.2.51 远程代码执行漏洞》漏洞预警公告,下面我们一起来了解一下这两个漏洞情况及修复建议。

Redis 4.x/5.x 远程命令执行高危漏洞

近日,阿里云应急响应中心监测到有安全研究人员披露 Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具。针对未授权或弱口令的 Redis 服务,攻击者通过构造特定请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。

1. 漏洞描述

在 Reids 4.x 之后,Redis 新增了模块功能特性,通过外部拓展,可以实现新的 Redis 命令,通过写 c 语言并编译出.so 文件,可实现代码执行漏洞。阿里云应急响应中心提醒 Redis 用户尽快采取安全措施阻止漏洞攻击。

2. 影响版本

  • Redis 4.x
  • Redis 5.x

3. 安全建议

3.1 通过阿里云安全组禁止 Redis 端口对外或只允许特定安全 ip 地址访问,具体见下图:

Redis 4.x/5.x和fastjson<1.2.51远程代码执行漏洞 最新资讯 第1张

3.2 加固 Redis,增加权限控制和密码策略等:https://help.aliyun.com/knowledge_detail/37447.html

以上内容来自阿里云公告的《Redis 4.x/5.x 远程命令执行高危漏洞

fastjson < 1.2.51 远程代码执行漏洞

近日,阿里云应急响应中心监测到 fastjson 爆出远程代码执行漏洞,可导致直接获取服务器权限,官方已发布公告说明,影响版本 < 1.2.51,请使用到的用户尽快升级至安全版本。

1. 漏洞描述

fastjson < 1.2.51 版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson 在反序列化时存在漏洞,可导致远程任意代码执行。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。

2. 影响版本

  • fastjson < 1.2.51

3. 安全版本

  • fastjson >= 1.2.51

4. 安全建议

根据官方漏洞公告提示升级 fastjson 组件:https://github.com/alibaba/fastjson/wiki/update_faq_20190722

以上内容来自阿里云公告的《fastjson < 1.2.51 远程代码执行漏洞

您可能感兴趣的文章

文章标签: ,  
原文地址:https://help.aliyun.com/noticelist/9213612.html?source=5176.11533457&userCode=bfol0yvy&type=copy
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 阿里云公告 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
©boke112导航,本站推荐使用:阿里云 ECS服务器等云产品服务,国外免备案主机建议使用:老薛主机
转载砖家

 发表评论

强表情无奈表情抠鼻表情笑哭表情偷笑表情衰表情流汗表情奋斗表情吐血表情抓狂表情晕表情流泪表情疑问表情呲牙表情惊讶表情鼓掌表情

  1. 明月登楼
    明月登楼 @回复

    Redis和Memcached太容易被人漏洞攻击了!所以使用这些一定要慎重!