漏洞描述
Redis 服务因配置不当,可被攻击者恶意利用。黑客借助 Redis 内置命令,可将现有数据恶意清空;如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登录服务器。
受影响范围
对公网开放,且未启用认证的 Redis 服务器
修复方案
注意:以下操作,均需重启 Redis 后才能生效。
-
绑定需要访问数据库的 IP。 将
Redis.conf
中的bind 127.0.0.1
修改为需要访问此数据库的 IP 地址。 -
设置访问密码。在
Redis.conf
中requirepass
字段后,设置添加访问密码。 -
修改 Redis 服务运行账号。以较低权限账号运行 Redis 服务,且禁用该账号的登录权限。