一���、漏洞詳情
Redis是一個開源的內(nèi)存數(shù)據(jù)結(jié)構(gòu)存儲系統(tǒng)����,廣泛應(yīng)用于緩存、消息隊列���、實時分析等場景��。
近日�,監(jiān)測到Redis官方發(fā)布的安全公告,在7.4.3 > Redis >= 2.6版本中,未認證的客戶端可以導致輸出緩沖區(qū)無限增長�����,直到服務(wù)器內(nèi)存耗盡或進程被終止。默認配置下,Redis不限制普通客戶端的輸出緩沖區(qū)�,允許其無限增長�����,導致服務(wù)崩潰或內(nèi)存不可用。即使啟用了密碼認證���,但未提供密碼��,客戶端仍可通過NOAUTH響應(yīng)導致緩沖區(qū)增長��,最終耗盡系統(tǒng)內(nèi)存���。
建議受影響用戶做好資產(chǎn)自查以及預防工作,以免遭受黑客攻擊����。
二�����、影響范圍
7.4.3 > Redis >= 2.6
三���、修復建議
官方已發(fā)布安全更新��,建議受影響用戶盡快升級至Redis 7.4.3版本。