服务公告

全部公告 > 安全公告 > Redis(32位)远程代码执行漏洞预警(CVE-2021-32761)

Redis(32位)远程代码执行漏洞预警(CVE-2021-32761)

2021-07-22

一、概要

近日,华为云关注到Redis官方发布安全公告,披露在32 位版本的Redis上,BITFIELD命令容易受到整数溢出的影响,攻击者利用漏洞通过构造特制的命令可造成整数溢出,触发远程代码执行。漏洞仅影响32位版本的Redis。

Redis 是当前互联网世界最为流行的存储数据库。华为云提醒使用32位Redis的用户及时安排自检并做好安全加固。

参考链接:Integer overflow issues with BITFIELD command on 32-bit systems

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Redis >2.2 且 < 5.0.13

Redis >2.2 且 < 6.0.15

Redis >2.2 且 < 6.2.5

安全版本:

5.0.13

6.0.15

6.2.5

四、安全建议

1、目前官方已在高版本中修复了该漏洞,请受影响的用户升级至安全版本。

2、无法及时升级的用户可根据Redis官方提供的建议,通过禁用BITFIELD 命令进行缓解,这可以在 Redis 6.0 及更高版本中使用 ACL 来完成。

3、替换成64位的Redis。

注:修复漏洞前请将资料备份,并进行充分测试。