【漏洞预警公告】redis配置不当致使root被提权漏洞
Dear all~
最近Redis服务被曝出因配置不当,利用SSH服务,可以直接获取服务器的ROOT权限漏洞。请关注!
一、漏洞发布日期
2015年11月10日
二、已确认被成功利用的软件及系统
外网可访问、root权限运行的redis服务器。
三、漏洞描述
redis默认无需权限认证即可被外部访问。黑客连接redis服务后,可向指定文件夹写入文件。若redis服务以root账户运行,则黑客可以把SSH登录公钥写入/root/.ssh/目录的authorized_keys文件,实现无需root密码即可通过SSH登录root帐号。
四、建议修复方案
1、绑定需要访问数据库的IP
修改 redis.conf 中的 “bind 127.0.0.1” ,改成需要访问此数据库的IP地址。
2、设置访问密码
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码。
3、修改redis运行账号
请以较低权限账号运行redis服务。
注:上述方法修改后,需要重启redis才能生效。
展开
收起
3
条回答
写回答
写回答
-
Re【漏洞预警公告】redis配置不当致使root被提权漏洞3、修改redis运行账号
请以较低权限账号运行redis服务。 这个如何操作 chown ?2016-08-19 16:37:52赞同 展开评论 打赏 -
回 楼主少丰的帖子391 # requirepass foobared 是改这个地方吗?改成 requirepass 密码 吗?如果我把远程禁掉,是否也可以是黑客无法实现无授权登录2015-11-13 17:11:37赞同 展开评论 打赏
-
问答标签:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
