腾讯云服务器优惠活动华纳云香港服务器

Redis 4.x/5.x和fastjson<1.2.51远程代码执行漏洞

今天看到阿里云应急响应中心发布了《Redis 4.x/5.x 远程命令执行高危漏洞》和《fastjson < 1.2.51 远程代码执行漏洞》漏洞预警公告,下面我们一起来了解一下这两个漏洞情况及修复建议。

Redis 4.x/5.x 远程命令执行高危漏洞

近日,阿里云应急响应中心监测到有安全研究人员披露 Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具。针对未授权或弱口令的 Redis 服务,攻击者通过构造特定请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。

1. 漏洞描述

在 Reids 4.x 之后,Redis 新增了模块功能特性,通过外部拓展,可以实现新的 Redis 命令,通过写 c 语言并编译出.so 文件,可实现代码执行漏洞。阿里云应急响应中心提醒 Redis 用户尽快采取安全措施阻止漏洞攻击。

2. 影响版本

  • Redis 4.x
  • Redis 5.x

3. 安全建议

3.1 通过阿里云安全组禁止 Redis 端口对外或只允许特定安全 ip 地址访问,具体见下图:

Redis 4.x/5.x和fastjson<1.2.51远程代码执行漏洞-第1张-boke112百科(boke112.com)

3.2 加固 Redis,增加权限控制和密码策略等:https://help.aliyun.com/knowledge_detail/37447.html

以上内容来自阿里云公告的《Redis 4.x/5.x 远程命令执行高危漏洞

fastjson < 1.2.51 远程代码执行漏洞

近日,阿里云应急响应中心监测到 fastjson 爆出远程代码执行漏洞,可导致直接获取服务器权限,官方已发布公告说明,影响版本 < 1.2.51,请使用到的用户尽快升级至安全版本。

1. 漏洞描述

fastjson < 1.2.51 版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson 在反序列化时存在漏洞,可导致远程任意代码执行。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。

2. 影响版本

  • fastjson < 1.2.51

3. 安全版本

  • fastjson >= 1.2.51

4. 安全建议

根据官方漏洞公告提示升级 fastjson 组件:https://github.com/alibaba/fastjson/wiki/update_faq_20190722

以上内容来自阿里云公告的《fastjson < 1.2.51 远程代码执行漏洞

赞 (0) 打赏
版权声明:本文为转载文章,来源于 阿里云公告 ,版权归原作者所有!发布此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请联系我们,确认后马上更正或删除,谢谢!
香港云主机55元/年
wu