1.漏洞概述

2024 年 10 月 12 日，安全运营中心监测到 Redis 缓冲区溢出漏洞，漏洞编号：CVE-2024-31449，漏洞威胁等级：高危。

2.漏洞详情

Redis 是一个开源（BSD 许可）的内存数据结构存储，用作数据库、缓存、消息代理和流引擎。Redis 提供数据结构，例如 字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis 内置了复制、Lua脚本、LRU 驱逐、事务和不同级别的磁盘持久性，并通过 Redis Sentinel 和 Redis Cluster 自动分区提供高可用性。

经过身份验证的用户可能会使用特制的 Lua 脚本来触发位库中的堆栈缓冲区溢出，这可能会导致远程代码执行。所有带有 Lua 脚本的 Redis 版本都存在该问题。

3.影响版本

2.6 ≤ Redis < 6.2.16

7.0.0 ≤ Redis < 7.2.6

7.4.0 ≤ Redis < 7.4.1

4.处置建议

1. 官方已发布最新版本修复该漏洞，建议将 redis 更新到 6.2.16、7.2.6 或7.4.1 及以上版本。

下载链接：https://redis.io/download

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651