今天看到阿里云应急响应中心发布了《Redis 4.x/5.x 远程命令执行高危漏洞》和《fastjson < 1.2.51 远程代码执行漏洞》漏洞预警公告,下面我们一起来了解一下这两个漏洞情况及修复建议。
Redis 4.x/5.x 远程命令执行高危漏洞
近日,阿里云应急响应中心监测到有安全研究人员披露 Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具。针对未授权或弱口令的 Redis 服务,攻击者通过构造特定请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。
1. 漏洞描述
在 Reids 4.x 之后,Redis 新增了模块功能特性,通过外部拓展,可以实现新的 Redis 命令,通过写 c 语言并编译出.so 文件,可实现代码执行漏洞。阿里云应急响应中心提醒 Redis 用户尽快采取安全措施阻止漏洞攻击。
2. 影响版本
- Redis 4.x
- Redis 5.x
3. 安全建议
3.1 通过阿里云安全组禁止 Redis 端口对外或只允许特定安全 ip 地址访问,具体见下图:
<img class="aligncenter size-full" src="https://boke.yigujin.cn/img/2019/190711_aliyunloudong.png" width="720" height="794" / alt="Redis 4.x/5.x和fastjson<1.2.51远程代码执行漏洞 - 第1张 - OZABC联盟(OZABC.com)" title="Redis 4.x/5.x和fastjson
3.2 加固 Redis,增加权限控制和密码策略等:https://help.aliyun.com/knowledge_detail/37447.html
以上内容来自阿里云公告的《Redis 4.x/5.x 远程命令执行高危漏洞》
fastjson < 1.2.51 远程代码执行漏洞
近日,阿里云应急响应中心监测到 fastjson 爆出远程代码执行漏洞,可导致直接获取服务器权限,官方已发布公告说明,影响版本 < 1.2.51,请使用到的用户尽快升级至安全版本。
1. 漏洞描述
fastjson < 1.2.51 版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson 在反序列化时存在漏洞,可导致远程任意代码执行。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。
2. 影响版本
- fastjson < 1.2.51
3. 安全版本
- fastjson >= 1.2.51
4. 安全建议
根据官方漏洞公告提示升级 fastjson 组件:https://github.com/alibaba/fastjson/wiki/update_faq_20190722
以上内容来自阿里云公告的《fastjson < 1.2.51 远程代码执行漏洞》
如若转载,请注明出处:https://www.ozabc.com/jianzhan/328141.html