问题描述
记录关于两个Redis漏洞 (CVE-2024-51741, CVE-2024-46981) 在Azure Redis上是否存在安全风险的问题?
CVE-2024-51741
Redis 是一个开源的内存数据库,它持久保存在磁盘上。具有足够权限的经过身份验证的 ACL 选择器可能会创建格式错误的 ACL 选择器,该选择器在访问时会触发服务器 panic 和随后的拒绝服务。
此问题已在 Redis 7.2.7 和 7.4.2 中修复。
CVE-2024-46981
Redis 是一个开源的内存数据库,它持久保存在磁盘上。经过身份验证的用户可能会使用特制的 Lua 脚本来纵垃圾回收器,并可能导致远程代码执行。
此问题已在 7.4.2、7.2.7 和 6.2.17 中修复。
在不修补 redis-server 可执行文件的情况下缓解问题的另一种解决方法是阻止用户执行 Lua 脚本。
这可以使用 ACL 来完成,以限制 EVAL 和 EVALSHA 命令。
以上两个CVE是否在Azure Redis存在呢? 如果存在,是否会及时修复呢?
问题解答
现在Azure Redis使用的版本为6.0, 所以,可以根据版本信息来确认当前Redis是否被该CVE影响。
对于 CVE-2024-51741(由于 ACL 选择器格式错误而导致的拒绝服务), Azure Redis 不会受到它的影响。 而 CVE-2024-46981(Lua 脚本命令可能导致远程代码执行)的修复程序都已在第一时间得到修复。因此,A阻热Redis 不受此CVE 的影响。
因为 Azure 上的所有服务都是及时修复最新的程序漏洞。同时,基于Azure 云安全标准:https://learn.microsoft.com/zh-cn/security/benchmark/azure/baselines/azure-cache-for-redis-security-baseline
当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。 云中,恰是如此!
