开发者社区> 问答> 正文

【漏洞预警公告】redis配置不当致使root被提权漏洞

Dear all~

最近Redis服务被曝出因配置不当,利用SSH服务,可以直接获取服务器的ROOT权限漏洞。请关注!


一、漏洞发布日期  

2015年11月10日  

二、已确认被成功利用的软件及系统  


外网可访问、root权限运行的redis服务器。


三、漏洞描述  


redis默认无需权限认证即可被外部访问。黑客连接redis服务后,可向指定文件夹写入文件。若redis服务以root账户运行,则黑客可以把SSH登录公钥写入/root/.ssh/目录的authorized_keys文件,实现无需root密码即可通过SSH登录root帐号。


四、建议修复方案


1、绑定需要访问数据库的IP
修改 redis.conf 中的 “bind 127.0.0.1” ,改成需要访问此数据库的IP地址。


2、设置访问密码
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码。


3、修改redis运行账号
请以较低权限账号运行redis服务。


注:上述方法修改后,需要重启redis才能生效。




展开
收起
少丰 2015-11-11 01:25:20 9797 0
3 条回答
写回答
取消 提交回答
  • Re【漏洞预警公告】redis配置不当致使root被提权漏洞
    3、修改redis运行账号
    请以较低权限账号运行redis服务。  这个如何操作  chown  ?
    2016-08-19 16:37:52
    赞同 展开评论 打赏
  • 回 楼主少丰的帖子
    391  # requirepass foobared 是改这个地方吗?改成 requirepass 密码 吗?如果我把远程禁掉,是否也可以是黑客无法实现无授权登录
    2015-11-13 17:11:37
    赞同 展开评论 打赏
  • 技术流的版主啊,厉害!
    2015-11-11 10:46:22
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
ApsaraDB for Redis——与创客同行 立即下载
微博的Redis定制之路 立即下载
云数据库Redis版的开源之路 立即下载