redis安装和使用,解决漏洞CVE-2022-24735,CVE-2022-24736

已于 2023-10-26 10:03:29 修改
阅读量3.8k 收藏 4
点赞数 1
分类专栏: 数据库 文章标签: 数据库 java redis
于 2022-06-20 17:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjzholmes/article/details/125374396
版权
本文详细介绍了如何从Redis 6.2.6升级到7.0.2以修复安全漏洞,并提供了升级步骤、启动新版本的命令、设置密码的方法以及配置修改,包括最大连接数、超时时间和日志记录。升级过程中需要注意版本兼容性和配置文件的修改,确保服务平滑过渡。
摘要由CSDN通过智能技术生成

Redis目前版本6.2.6,升级redis7解决CVE-2022-24735  CVE-2022-24736 两个漏洞

在同一台服务器中升级redis
redis安装包官网下载地址:

Download | Redis

注意:redis 偶数为稳定版本,奇数为开发版本。

安装包上传到linux服务器后,解压缩:

redis上一版本安装位置是/usr/local/redis

redis7版本位置选择/usr/local/redis7

tar -zxvf redis-7.0.2.tar.gz

更名移动解压后的目录文档

mv redis-7.0.2 /usr/local/redis7

停止目前运行的redis服务

ps -ef | grep redis

 在新版本的redis7目录下/usr/local/redis7

make

make PREFIX=/usr/local/redis7 install 

PREFIX= 这个关键字的作用是编译的时候用于指定程序存放的路径。比如我们现在就是指定了redis必须存放在/usr/local/redis目录。假设不添加该关键字Linux会将可执行文件存放在/usr/local/bin目录

第一次运行时报错:make[1]: *** No rule to make target `install '.  Stop

原因是我多加了一个空格

成功如下

启动redis:

在目录/usr/local/redis7下执行

./bin/redis-server ./redis.conf

这是后台启动的方式,或者修改redis.conf配置文件

daemonize属性为yes,则跟后台进程方式启动一样。 

 ./bin/redis-server ./redis.conf

redis7的daemonize属性默认为yes,且Redis7 对 RDB 文件使用了新版本格式(10),与旧版本不兼容

修改daemonize后不能再用./bin/redis-server& ./redis.conf方式,不然启动找不到conf文件!!!

在本次升级场景中,关闭redis旧服务,然后重新新的redis即可,缓存数据丢失没有影响。

redis设置密码

采用修改配置文件的方法:

vim redis.conf

 requirepass 后设置你的密码

然后重启redis,登录查看

./bin/redis-cli

登录发现需要密码:

 

设置临时密码:

在命令行输入 :config get requirepass

如图所示就是未设置密码通过命令设置密码: config set requirepass XXX

 设置密码后,验证密码需要 auth 123456

查看Redis是以哪个配置文件启动

使用命令:info Server

查看最大连接数: CONFIG GET maxclients

查看已连接数: info clients

设置超时时间

要修改Redis的配置文件,我们需要以下几个步骤:

打开redis.conf文件
找到timeout参数所在的行,修改timeout参数的值

timeout 300 

表示将超时时间设置为300秒(5分钟)。这意味着如果Redis服务器在5分钟内没有执行任何命令或操作,连接将会超时关闭。你可以根据实际需求来调整超时时间的值。

保存文件并退出

重启redis

设置redis日志,默认没有保存日志

# 日志级别,Redis总共支持四个级别:
# debug、verbose、notice、warning,默认为notice
# 需要将指定的日志级别以下的日志内容打印出来
# 可选项: debug,verbose,notice,warning,默认为notice
loglevel notice

# 将日志写入指定的日志文件,默认为/dev/null,即不记录日志文件
logfile /var/log/redis/redis-server.log

参考文章:

Linux安装部署Redis(超级详细)_bai_shuang的博客-CSDN博客_redis安装部署linux

Linux环境下安装部署redis_留下没技术的眼泪的博客-CSDN博客_redis安装部署linux

Linux中redis数据备份和迁移【转】 - 码农教程

「笔记」linux连接redis,查看数据 - 简书

大宇进阶之路
关注
专栏目录
CVE-2022-38817
初岄的博客
10-12 2155
Dapr Dashboard 存在 未授权访问漏洞,在未经授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息,并可以进一步利用这些配置信息获取云上的敏感数据。
Redis 破解
01-09
ServiceStack.Redis-4.5.0.0破解,有需要的可以下载,亲测可用
Redis 拒绝服务漏洞CVE-2023-28856)修复处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-07 2180
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。官方补丁:https://github.com/redis/redis/,https://github.com/redis/redis/pull/11149,RDB 格式的内容和 AOF 格式的内容,该文件的前半段是 RDB 格式的全量数据,而后半段是 Redis 命令格式的增量数据;丢失数据的概率相对有点大。
Redis 的认识还停留在 4.x 版本?7.0 全新特性很惊艳!
码哥字节
08-02 1022
我是码哥,可以叫我靓仔。作为当今广受欢迎的内存数据库Redis 以其卓越的性能和广泛的应用场景著称。掌握 Redis 技术几乎成为每位开发人员、测试人员和运维人员的看家本领!大约在 2021 ~2023 年期间,我在微信公众号「自从签下约稿合同到正式出版,经历了两年之久。千古无同局,叶底能否藏花,我们未来印证,愿此心法能让你学有所成,你来,我等着。
春秋云境:CVE-2022-0543(Redis 沙盒逃逸漏洞
m0_65712192的博客
08-21 1893
Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1940
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
Redis升级】---修复代码注入漏洞、缓冲区错误漏洞
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
06-10 1万+
Redis版本升级(redis-4.0.8升级至redis-7.0.9)----解决redis代码注入漏洞redis缓冲区错误漏洞
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4245
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
CVE-2022-0543(lua沙盒绕过命令执行)复现
kriesa的博客
07-13 583
CVE-2022-0543复现
Reids RCE-CVE-2022-0543 复现
weixin_52532634的博客
02-02 387
local f = io.popen("在这里命令", "r");编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问。一般都是默认的端口好6379,这里端口号是环境映射的。
redis4.0x5.0x-远程命令漏洞利用exp.rar
07-09
redis4.0x5.0x-远程命令漏洞利用exp 2019年7月9日版,仅用来学习测试,不可用于非法用途,谢谢配合,实测可用
Redis未授权访问漏洞
wanghaichaonihao的专栏
07-27 4203
一、漏洞描述和危害    Redis因配置不当可以未授权访问,被攻击者恶意利用。 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。 如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。  
速看!又一个 Redis 高危漏洞,可植入隐秘后门允许命令执行
easylife206的专栏
12-11 611
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞Redis服务器并植入一个隐秘的后门允许命令执行。CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补...
漏洞复现】---- Redis 4.x/5.x 未授权访问漏洞
qq_43168364的博客
12-24 1274
一、简介 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库Redis提供了多种语言的API。Redis默认使用6379端口 Redis未授权漏洞产生的原因 ---- Redis默认使用6379端口,并且Redis默认是空密码并且默认允许远程连接。一些管理员在安装Redis之后,并没有修改它的默认端口。而且也没有设置密码的话,黑客就可以通过Redis数据库写入任意文件进行提权,从而操控该服务器。 Redis未授权访问在4.x/5.0.5以前
Redis服务器应用漏洞
xlsj雪松的博客
03-16 453
1 redis是什么 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个非常快速的开源非关系、Key-Value数据库,通常称为数据结构服务器; RedisJava Web 主要有两个应用场景: 存储 缓存 用的数据; 需要高速读/写的场合使用它快速读/写; NoSql的四大分类 1.键值(Key-Value)存储,如Redis(优势:快速查询 劣势:存储数据缺少结构化) 2.列存储,如HBase(优势:快速查询,扩展性强 劣势:功能相对局限) 3.文档数据库,如mongoD
Redis漏洞总结
weixin_42345596的博客
09-19 2975
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新
Redis数据库漏洞(未授权访问)
weixin_64659753的博客
05-26 549
Redis数据库漏洞(未授权访问)
Redis未授权访问漏洞复现及利用
Lilin's博客
03-20 967
Redis未授权访问漏洞复现及利用Redis相关介绍应用场景常用语法漏洞复现环境搭建Centos 7 环境配置安装Apache安装PHP安装Redis漏洞利用准备kali安装Rediswindows安装Redis未授权访问漏洞利用webshell反弹shell写公钥主从复制RCE预防措施其他问题 Redis相关介绍 Redis是完全开源的,遵守BSD协议,是一个高性能的key-value数据库。 应用场景 在Java web中主要有两个应用场景: 存储、缓存用的数据 需要高速读写的场合使用它快速读写 常
cve 2016 2183 redis
07-05
CVE-2016-2183是一个针对Redis数据库的安全漏洞,它影响的是Redis 2.8.x版本。这个漏洞被称为“命令注入”,因为它允许攻击者通过恶意构造的命令字符串,利用服务器的解析机制绕过输入验证,获取敏感信息、执行未授权的操作甚至完全控制Redis实例。 漏洞的具体情况是,Redis在处理一些配置选项时,对用户输入的命令格式检查不足,导致当用户能够设置某些特定键值时,可以执行非预期的命令。攻击者可以通过此漏洞发送精心构造的命令,比如覆盖或删除服务器的数据,或者执行系统级别的操作。 修复此漏洞的关键在于增强Redis对用户输入的验证和安全处理,通常涉及升级到受影响版本之外的最新稳定版,或者应用官方提供的安全补丁。同时,用户也应该谨慎管理权限,限制不必要的 Redis 配置暴露给不受信任的客户端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大宇进阶之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值