漏洞描述
经过身份验证的用户可能会使用特制的 Lua 脚本来触发位库中的堆栈缓冲区溢出,这可能会导致远程代码执行。所有带有 Lua 脚本的 Redis 版本都存在该问题。
目前受影响的Redis版本:
2.6 ≤ Redis < 6.2.16
7.0.0 ≤ Redis < 7.2.6
7.4.0 ≤ Redis < 7.4.1
官方解决方案:
官方已发布最新版本修复该漏洞,建议受影响客户将redis更新到6.2.16、7.2.6或7.4.1及以上版本。
下载链接:Downloads - Redis
我们用的系统是openeuler2203-sp1,目前安装redis版本是redis6-6.2.7-2.oe2203sp1.x86_64,请问如何打补丁修复,感谢!
shangbaogen
(WindRiver-ShangBaoGen)
2
openEuler-22.03-LTS-SP1源码仓库针对redis6-6.2.7版本的修复还没有正式合入openEuler的仓库:
不过我看到已经有一个修复的commit提交了到社区里,不知道什么原因后续又关闭了,你可以参考下:
反正打补丁修复原则是:
1.如果OS厂商已经给出了修复CVE后的rpm包,直接从官方下载安装就行。
2.如果OS厂商没有给出修复后的rpm包,但有修复后的源码包,则下载源码包,编译安装就行。
3.如果OS厂商没有给出补丁,则可以参考upstream上游或者其他厂商版本给出的补丁,然后基于OS厂商源码包移植补丁,然后编译,安装。
kokjok
(Kokjok)
6
社区是提供了redis4、redis5和redis6的,目前这个漏洞社区只修复了redis4,如果需要修复redis6有两个途径:一、自己重新打包修复;二、找社区安全方面修复(时间比较久)
