首页 > 数据库 >【Azure Redis 缓存】Azure Redis 4.0 被扫描到漏洞,如何修补呢?

【Azure Redis 缓存】Azure Redis 4.0 被扫描到漏洞,如何修补呢?

时间:2023-04-11 20:33:45浏览次数:60  
标签:4.0 before Redis 漏洞 Azure CVE hyperloglog

问题描述

在安全级别要求高的公司中,任何系统都会进行安全扫描。比如Azure 云上的Redis服务,也在扫描的范围中,最后发现Redis 4.0存在以下漏洞:

  1. CVE-2019-10192:https://nvd.nist.gov/vuln/detail/CVE-2019-10192
  2. CVE-2019-10193:https://nvd.nist.gov/vuln/detail/CVE-2019-10193
  3. CVE-2018-12453:https://nvd.nist.gov/vuln/detail/CVE-2018-12453

 

问题解答

根据漏洞编号(CVE: Common Vulnerabilities and Exposures, 常见的漏洞和风险),分析这些漏洞均发生在Redis 5.x, 4.x, 3.x中。如:

CVE-2019-10192 Detail

Description :A heap-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By carefully corrupting a hyperloglog using the SETRANGE command, an attacker could trick Redis interpretation of dense HLL encoding to write up to 3 bytes beyond the end of a heap-allocated buffer.

描述:在 Redis hyperloglog 数据结构版本 3.x的 3.2.13 之前,4.x 的4.0.14 之前和 5.x的 5.0.4 之前发现了一个堆缓冲区溢出漏洞。使用 SETRANGE 命令破坏 hyperloglog,攻击者可以欺骗 Redis 对密集 HLL 编码的解释,以写入超出堆分配缓冲区末尾多达 3 个字节的内容。

CVE-2019-10193 Detail

Description : A stack-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By corrupting a hyperloglog using the SETRANGE command, an attacker could cause Redis to perform controlled increments of up to 12 bytes past the end of a stack-allocated buffer.

描述:在 Redis hyperloglog 数据结构版本 3.x 的 3.2.13 之前,4.x 的 4.0.14 之前和 5.x 的 5.0.4 之前发现了一个堆缓冲区溢出漏洞。使用 SETRANGE 命令破坏 hyperloglog,攻击者可以导致 Redis 在栈分配缓冲区末尾超过 12 个字节的受控增量

CVE-2018-12453 Detail

Description : Type confusion in the xgroupCommand function in t_stream.c in redis-server in Redis before 5.0 allows remote attackers to cause denial-of-service via an XGROUP command in which the key is not a stream.

描述:Redis 5.0 之前的 Redis-server 中的 t_stream.c 中的 xgroupCommand 函数存在类型混淆漏洞,远程攻击者可以通过 XGROUP 命令导致拒绝服务

 

如果要规避这些漏洞,只能升级Redis版本,而Azure Redis只支持4.x, 6.x 。

并且近期Redis 4.x也即将退役,所有的Azure Redis都将被升级到6.X。

当然,也可以手动升级Redis版本来主动规避风险。

 

参考资料

What's been retired from Azure Cache for Redis? - Azure Cache for Redis | Azure Docs

 

标签:4.0,before,Redis,漏洞,Azure,CVE,hyperloglog
From: https://www.cnblogs.com/lulight/p/17307571.html

相关文章

  • centos7安装redis
    centos7#安装yuminstallepel-releaseyumupdateyum install redis#命令serviceredisstopserviceredisstartserviceredisstatusserviceredisrestart#开机启动systemctlenableredis#禁用开机启动systemctldisableredis#配置密码vi/etc/redis.conf#查找requirepa......
  • redis-4,redis主从复制
    redis主从复制就是主从复制,master以写为主,slave以读为主读写分离容灾备份支持高并发,水平扩容配从库不配主库master如果配置了requirepass,需要密码登录,那么slave就要配置masterauth来设置校验密码,否则的话master会拒绝slave的访问请求主要命令inforeplication可以查看复......
  • redis-3,redis事务和管道和发布订阅
    redis事务保证数据的一致性,具有原子性的命令setk1v1getk1在一个队列里有一次性的,排他性的执行一系列操作multicmd1cmd2execredis数据库事务redis的事务仅仅是保证事务的操作会被连续单独的执行,redis命令的执行是单线程架构,在执行完事务内所有的命令前是不会执行......
  • csredis操作redis
    c#使用csredis操作redis 现在流行的redis连接客户端有StackExchange.Redis和ServiceStack.Redis,为什么选择csredis而不是这两个?.net最有名望的ServiceStack.Redis早已沦为商业用途,在.NETCore中使用只能充值;后来居上的StackExchange.Redis虽然能用,但线上各种Timeou......
  • 深度剖析Redis九种数据结构实现原理,建议收藏
    1.Redis介绍Redis是一个高性能的键值存储系统,支持多种数据结构。包含五种基本类型String(字符串)、Hash(哈希)、List(列表)、Set(集合)、Zset(有序集合),和三种特殊类型Geo(地理位置)、HyperLogLog(基数统计)、Bitmaps(位图)。每种数据结构都是为了解决特定问题而设计的,适用不同的场景。想要......
  • Redis的删除,过期,击穿,穿透,雪崩
     Redis里面的RedisTemplate.delete()方法的原理是:1.RedisConnection 创建redis的连接2.会去执行命令createCommand(type,param)3.程序启动的时候,会自动执行命令,redis1服务器会删除内容。Redis的删除策略:1.定时删除:存入的Key的时候设置了过期时间,到时间了就会删除,这里的好处......
  • 数据库:Redis哨兵及cluster集群部署
    1、什么是哨兵模式哨兵模式:可以自动切换解决单点故障,但是不能负载均衡,存储能力受限制。哨兵核心功能:在主从复制的基础上,实现了主节点的自动故障转移2、哨兵的作用监控:监控主节点和从节点是否在正常运行故障自动转移:当主节点不能正常工作时,哨兵会开始自动故障转移操作,它会将失效......
  • 数据库:Redis数据库高可用
    一、Redis数据库持久化1、redis高可用类型高可用定义:范围宽泛,除保证提供正常服务,还要考虑数据容量的扩展,数据安全不安全是否会丢失等。①持久化:最简单的高可用方法,主要是数据备份即将reids的内容存储到硬盘中保证数据不会因为进程退出丢失。2、redis实现持久化方式及优缺点①RDB......
  • redis Cluster集群环境搭建
    文档课题:redisCluster集群环境搭建.操作系统:rhel7.964位数据库:redis6.2.6环境说明:第1台机器:主机名leo-redis626-a192.168.133.1008001端口8002端口第2台机器:主机名leo-redis626-b192.168.133.1018001端口8002端口第3台机器:主机名leo-redis626-c192.168.133.10280......
  • 执行redis-cli命令创建redis集群时报错“Could not connect to Redis at IP:端口: No
    问题描述:执行redis-cli命令创建redis集群时报错“CouldnotconnecttoRedisatIP:端口:Noroutetohost”,如下所示:数据库:redis6.2.6系统:rhel7.91、异常重现[root@leo-redis626-asrc]#/usr/local/src/redis-6.2.6/src/redis-cli--clustercreate--cluster-replicas1......