redis漏洞修复:CVE-2022-35977、CVE-2023-22458、CVE-2023-28856

最新推荐文章于 2023-10-13 14:43:17 发布
最新推荐文章于 2023-10-13 14:43:17 发布
阅读量796 收藏
点赞数
分类专栏: 运维知识 文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35848778/article/details/133068821
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

漏扫发现机器上的redis版本有点低,需要升级版本修复漏洞

一、漏洞内容

Redis Labs Redis 输入验证错误漏洞(CVE-2022-35951)
在这里插入图片描述

Redis 输入验证错误漏洞(CVE-2023-22458)
在这里插入图片描述

Redis 安全漏洞(CVE-2023-28856)
在这里插入图片描述

二、现状

现在的redis是使用的docker运行的,版本是7.0.4

docker exec -it redis /bin/bash
root@9c719615bb29:/data# redis-cli  -v
redis-cli 7.0.4

三、更新redis

下载镜像

docker pull redis:latest

停止已有的容器

docker stop   redis
docker rm    redis

启动新的容器

docker run --name redis -d -p 6379:6379  -v /data/redis-data:/data --restart=always   redis:latest

四、更新后的版本

1. 查看日志

docker logs redis
1:C 20 Sep 2023 02:28:11.118 * oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo
1:C 20 Sep 2023 02:28:11.118 * Redis version=7.2.1, bits=64, commit=00000000, modified=0, pid=1, just started
1:C 20 Sep 2023 02:28:11.118 # Warning: no config file specified, using the default config. In order to specify a config file use redis-server /path/to/redis.conf
1:M 20 Sep 2023 02:28:11.119 * monotonic clock: POSIX clock_gettime
1:M 20 Sep 2023 02:28:11.121 * Running mode=standalone, port=6379.
1:M 20 Sep 2023 02:28:11.121 # WARNING: The TCP backlog setting of 511 cannot be enforced because /proc/sys/net/core/somaxconn is set to the lower value of 128.
1:M 20 Sep 2023 02:28:11.123 * Server initialized
1:M 20 Sep 2023 02:28:11.123 * Loading RDB produced by version 7.0.4
1:M 20 Sep 2023 02:28:11.123 * RDB age 84 seconds
1:M 20 Sep 2023 02:28:11.123 * RDB memory usage when created 1.00 Mb
1:M 20 Sep 2023 02:28:11.124 * Done loading RDB, keys loaded: 1, keys expired: 90.
1:M 20 Sep 2023 02:28:11.124 * DB loaded from disk: 0.000 seconds
1:M 20 Sep 2023 02:28:11.124 * Ready to accept connections tcp

2. 查看版本

redis-cli -v
redis-cli 7.2.1

总结

我之前的redis部署把data目录挂载出来了,所以升级比较简单

大新新大浩浩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis-7.0.12-Windows-x64
08-29
Upgrade urgency SECURITY: See security fixes below. Security Fixes: (CVE-2022-24834) A specially crafted Lua script executing in Redis can trigger a heap overflow in the cjson and cmsgpack libraries, and result in heap corruption and potentially remote code execution. The problem exists in all versions of Redis with Lua scripting support, starting from 2.6, and affects only authenticated and authorized users. (CVE-2023-36824) Extracting key names from a command and a list of arguments may, in
redis-6.2.4-x64-windows-bin.zip
06-15
修复 STRALGO LCS 的整数溢出(CVE-2021-32625) 。在 Redis 6.0 或更新的版本中,有一个整数溢出漏洞,可通过使用 STRALGO LCS 命令来破坏堆,可能导致远程代码 执行。这是由 CVE-2021-29477 的不完整修复造成的。 只适用于 Redis 6.2 以前版本的错误修复修复 diskless replication fork child 终止后崩溃问题(#8991) 修复不受支持的配置上的 redis-benchmark 崩溃 ( #8916 ) 其他错误修复修复 UNLINK 在 deleted consumer groups 的 stream key 上的崩溃( #8932 ) SINTERSTORE:当不存在任何 sources 时添加丢失的 keyspace del 事件 ( #8949 ) Sentinel:修复空字符串 sentinel-user/sentinel-pass 配置的 CONFIG SET ( #8958 ) 在没有流量时强制执行客户端输出缓冲区软限制 ( #8833 )
Redis-7.0.13-Windows-x64-with-Service
10-06
Upgrade urgency SECURITY: See security fixes below. Security Fixes (CVE-2023-41053) Redis does not correctly identify keys accessed by SORT_RO and as a result may grant users executing this command access to keys that are not explicitly authorized by the ACL configuration. Bug Fixes Cluster: fix a race condition where a slot migration may revert on a subsequent failover or node joining (redis/redis#12344) Ensure that the function load timeout is disabled during loading from RDB/AOF and on repli
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来管理任务流程的任务调度工具, 不需要知道业务数据的具体内容,设置任务的依赖关系即可实现任务调度。 这个平台拥有和 Hive、Presto、MySQL、HDFS、Postgres 等数据源之间交互的能力,并且提供了钩子(hook)使其拥有很好地扩展性。除了一个命令行界面,该工具还提供了一个基于 Web 的用户界面可以可视化管道的依赖关系、监控进度、触发任务等。 Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。
Redis未授权访问漏洞复现
xunhuanmao的博客
09-22 1992
Redis未授权访问漏洞的环境搭建以及利用方式。
[漏洞分析] CVE-2023-38545 curl“史上最严重的漏洞“分析
Breeze的博客
10-13 4135
分析与复现curl"史上最严重漏洞"CVE-2023-38545
【Curl安全:维护网络传输的关键挑战】
qq_43751649的博客
10-10 586
Curl是一款广泛应用的命令行工具,用于在服务器之间传输数据。然而,最近即将公开的高危漏洞CVE-2023-38545的存在引发了广泛关注。本文将探讨Curl的重要性、漏洞对业务的影响以及如何保护网络传输的安全。引言在当今数字化时代,网络传输是现代社会中不可或缺的一部分。无论是数据交换、文件下载还是网页浏览,我们都依赖于安全可靠的网络传输工具。Curl作为一款强大的命令行工具,为我们提供了方便快捷的数据传输方式。
赶紧排查!libcurl高危漏洞来了!
IT界那些事儿
10-09 1849
但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。轩辕之前做C/C++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
Redis 拒绝服务漏洞CVE-2023-28856修复处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-07 1646
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。官方补丁:https://github.com/redis/redis/,https://github.com/redis/redis/pull/11149,RDB 格式的内容和 AOF 格式的内容,该文件的前半段是 RDB 格式的全量数据,而后半段是 Redis 命令格式的增量数据;丢失数据的概率相对有点大。
curl&libcurl存在缓冲区溢出高危漏洞 (CVE-2023-38545)解决
qq_40619119的博客
10-13 2984
目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。
redis-6.2.3-x64-for-windows-bin.zip
05-13
STRALGO LCS 命令中的整数溢出(CVE-2021-29477):Redis 6.0 版或更新的版本中存在一个整数溢出漏洞,可利用 STRALGO LCS 命令破坏堆并可能导致远程代码执行。从 6.0 开始,所有版本的 Redis 都存在整数溢出漏洞。 在...
Redis安全漏洞影响及加固方法
热门推荐
qq_40770143的博客
10-12 1万+
Redis安全漏洞影响及加固方法 Redis安全漏洞影响: 1、 Redis因配置不当可以未授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。 2、 当前业界已暴出多起因Redis漏洞导致主机被入侵、业务中断、数据丢失...
redis集群高位漏洞修复
weixin_43999932的博客
09-17 8983
一.起因 这两天公司安全部检查,发现redis高位漏洞,之前同事搭建redis集群得时候竟然没有禁用高位命令!!!!并且也没有低权限运维redis.嗨,头秃难顶 二.解决方法 # 1.禁用高位redis命令 cd /data/redis # 进入redis目录 vim redis.conf # 编辑配置文件 rename-command KEYS "SMYKEYS" rename-command FLUSHALL "SMYFLUSHALL" rename-command FLUSHDB "SMYFLUSHD
Redis未授权访问漏洞
m0_61506558的博客
09-10 783
VNC是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件,由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于UNXI和Linux的免费开源软件,由VNC Server和VNC View两部分组成。VNC默认端口号为5900、5901。VNC未授权访问漏洞如果被利用可能造成恶意用户直接控制target主机。
redis 安全漏洞防御
weixin_44021888的博客
02-02 272
redis 安全漏洞防御 一、端口安全(限制客户端ip以及修改密码) 置redis密码 找到requirepass,设置新的密码 将 redis 启动在 127.0.0.1 上 一般建议方案是将 redis 启动在 127.0.0.1 上 但是这种方式不能跨服务器访问,一般方式是将 Redis 放到内网,防止公网检测。如果服务部署在公有云上,需要对 Redis 服务器设置防火墙 redis设置防火墙本人还需要再找一些其它的资料 同时可以修改端口号:可修改也可不修改 二、指令安全 用户建立连接后可能执行
Curl漏洞-- CVE-2023-38545解决方案
最新发布
一杯咖啡的渗透记忆
10-13 901
问题出现在文件 lib/socks.c 中。当提供远程主机名并使用 SOCKS5 时,设置socks5_resolve_local 变量的逻辑中存在缺陷,这意味着当由于主机名长度超过 SOCKS5 中主机名字段的限制 255 而将其设置为 TRUE 时,连接可能会很慢 导致该分配被设置为FALSE的socks5_resolve_local覆盖。默认情况下,curl CLI 工具将缓冲区设置为 102400 字节,但如果提供了 --limit-rate 参数,则可能会设置为更小的值。中可用,Commit在。
注意!开源命令行工具Curl 中存在严重漏洞
smellycat000的专栏
10-09 748
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
CVE-2023-35843NocoDB 任意文件读取漏洞(CVE-2023-35843)
m0_46317063的博客
06-29 577
cve-2023-35843
漏洞预警|CVE-2023-38545 Curl 和 libcurl 堆缓冲区溢出漏洞
LJQClqjc的博客
10-12 470
官方已修复漏洞,建议用户更新到安全版本。
给这段配置文件添加注释services: ruoyi-redis: container_name: ruoyi-redis image: redis build: context: ./redis ports: - "9063:6379" volumes: - ./redis/conf/redis.conf:/home/ruoyi/redis/redis.conf - ./redis/data:/data command: redis-server /home/ruoyi/redis/redis.conf
06-09
以下是带注释的配置文件: ``` services: # Redis服务 ruoyi-redis: # 容器名称 container_name: ruoyi-redis image: redis # Redis镜像 build: # 构建Redis镜像 context: ./redis # Dockerfile所在目录 ports: - "9063:6379" # 容器与主机端口映射 volumes: - ./redis/conf/redis.conf:/home/ruoyi/redis/redis.conf # Redis配置文件映射 - ./redis/data:/data # Redis数据目录映射 command: redis-server /home/ruoyi/redis/redis.conf # 启动Redis服务的命令 ``` 注释解释如下: - Redis服务:这是一个Redis服务容器。 - 容器名称:指定容器的名称为ruoyi-redis。 - Redis镜像:使用Redis官方镜像。 - 构建Redis镜像:使用./redis目录下的Dockerfile构建Redis镜像。 - 容器与主机端口映射:将容器内部的6379端口映射到主机的9063端口。 - Redis配置文件映射:将主机中的./redis/conf/redis.conf文件映射到容器中的/home/ruoyi/redis/redis.conf文件。 - Redis数据目录映射:将主机中的./redis/data目录映射到容器中的/data目录。 - 启动Redis服务的命令:在容器启动时执行redis-server /home/ruoyi/redis/redis.conf命令来启动Redis服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值