Redis 未授权访问漏洞修复方案.docxVIP

Redis 未授权访问漏洞修复方案 深信服科技股份有限公司 漏洞详情信息 漏洞名称 Redis 未授权访问漏洞 漏洞等级 高 漏洞描述 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。Redis 默认情况下，会绑定在 :6379，这样将会将 Redis 服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法，可以成功在 Redis 服务器上写入公钥，进而可以使用对应私钥直接登录目标服务器。 漏洞影响 影响所有未开启认证访问的 Redis。 漏洞修复方案 免责声明： 本文档所提供的修复方案,均以官方提供的方案作为最佳方案，其次是针对漏洞原理进行修复的临时解决方案。修复方案中涉及的补丁下载链接均为官方提供的链接，若补丁存在任何异常问题，深信服科技股份有限公司不承担相应责任。 修复建议 方案一 修复原理： 为Redis设置密码，密码会以明文方式保存在Redis配置文件中。修复风险： 1. 修改配置后，必须使用认证密码连接Redis 需要连接Redis数据库的业务代码，也必须同步修改连接方式。 方案二 修复原理： 修改 Redis 的默认端口6379修复风险： 连接Redis需要指定新端口 方案三 修复原理： 修改rename-command 配置项 重命名config命令，这样即使存在未授权访问，也 能够给攻击者使用config 指令加大难度。修复风险： 必须通过别名使用config指令 建议 优先考虑使用方案一，其他方案为辅助方案请在测试环境试验后，再对生产环境进行修复 修复依据 /archives/5366.html 1、方案一(设置密码) 方案描述 为Redis设置密码，密码会以明文方式保存在Redis配置文件中。 修复流程 修改配置文件 重启Redis 完成 风险概述 1. 修改配置后，必须使用认证密码连接Redis 2. 需要连接Redis数据库的业务代码，也必须同步修改连接方式。 修复依据 /archives/5366.html 操作前提 确定所有连接此Redis的业务代码，修改其连接方式 具体操作步骤如下： 步骤1 修改配置文件打开配置文件 vi /etc/redis.conf 找到 # requirepass ，取消注释并在后面加上密码 如：requirepass password 步骤2 重启Redis1）yum安装的Redis Systemctl restart redis 源码安装的Redis ①关闭Redis redis-cli shutdown ②启动Redis redis-sever /etc/redis.conf 2、方案二(修改默认端口) 方案描述 修改 Redis 的默认端口6379。 修复流程 修改配置 重启Redis 完成 风险概述 连接Redis需要指定新端口 修复依据 根据漏洞原理修复 操作前提 确定所有连接此Redis的业务代码，修改其连接端口 具体操作步骤如下： 步骤1 修改配置文件打开配置文件 vi /etc/redis.conf 找到 port 6379 ，将6379修改为其他端口，需要确保新端口未被占用 步骤2 重启Redis1）yum安装的Redis Systemctl restart redis 源码安装的Redis ①关闭Redis redis-cli shutdown ②启动Redis redis-sever /etc/redis.conf 3、方案三(重命名config命令) 方案描述 修改rename-command 配置项 重命名config命令，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度。 修复流程 修改配置 重启Redis 完成 风险概述 必须通过别名使用config指令 修复依据 根据漏洞原理修复 操作前提 无 具体操作步骤如下： 步骤1 修改配置文件打开配置文件 vi /etc/redis.conf 找到 # rename-command CONFIG 取消注释，并将 改成CONFIG的别名 如：rename-command CONFIG asd987h0bn21m43n2b 步骤2 重启Redis1）yum安装的Redis Systemctl restart redis 源码安装的Redis ①关闭Redis redis-cli shutdown ②启动Redis redis-sever