一�����、漏洞詳情
Redis是一個(gè)開(kāi)源的內(nèi)存數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)系統(tǒng)�,廣泛應(yīng)用于緩存、消息隊(duì)列����、實(shí)時(shí)分析等場(chǎng)景�。
近日,監(jiān)測(cè)到Redis官方發(fā)布的安全公告��,在7.4.3 > Redis >= 2.6版本中�,未認(rèn)證的客戶端可以導(dǎo)致輸出緩沖區(qū)無(wú)限增長(zhǎng),直到服務(wù)器內(nèi)存耗盡或進(jìn)程被終止���。默認(rèn)配置下,Redis不限制普通客戶端的輸出緩沖區(qū)�����,允許其無(wú)限增長(zhǎng)���,導(dǎo)致服務(wù)崩潰或內(nèi)存不可用�。即使啟用了密碼認(rèn)證,但未提供密碼�����,客戶端仍可通過(guò)NOAUTH響應(yīng)導(dǎo)致緩沖區(qū)增長(zhǎng)�����,最終耗盡系統(tǒng)內(nèi)存���。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作����,以免遭受黑客攻擊�����。
二、影響范圍
7.4.3 > Redis >= 2.6
三��、修復(fù)建議
官方已發(fā)布安全更新�����,建議受影響用戶盡快升級(jí)至Redis 7.4.3版本�����。