09/01/2025
Cảnh Báo Lỗ Hổng Nghiêm Trọng Trên Redis (CVE-2024-51741 và CVE-2024-46981)
Redis, cơ sở dữ liệu trong bộ nhớ phổ
biến, đang đối mặt với hai lỗ hổng nghiêm trọng đe dọa hàng triệu hệ thống: CVE-2024-51741 gây
từ chối dịch vụ (DoS) và CVE-2024-46981 cho phép thực thi mã từ
xa (RCE).
CVE-2024-51741 (CVSS
4.4): Lỗ hổng này xuất hiện trên Redis từ phiên bản 7.0.0 trở lên .
Kẻ tấn công có thể tạo một ACL selector bị lỗi định dạng để gây ra trạng thái
"panic", làm server ngừng hoạt động. Lỗ hổng đã được vá trong
Redis 7.2.7 và 7.4.2 .
CVE-2024-46981 (CVSS
7.0): Tất cả các phiên bản Redis có Lua scripting đều bị ảnh hưởng. Kẻ tấn công
có thể tạo Lua script độc hại để khai thác cơ chế garbage collector, từ đó thực
thi mã độc trên server. Phiên bản đã vá gồm Redis 6.2.x , 7.2.x ,
và 7.4.x .
1. Mô tả
Redis, cơ sở dữ liệu trong bộ nhớ phổ
biến, đang đối mặt với hai lỗ hổng nghiêm trọng đe dọa hàng triệu hệ thống: CVE-2024-51741 gây
từ chối dịch vụ (DoS) và CVE-2024-46981 cho phép thực thi mã từ
xa (RCE).
CVE-2024-51741 (CVSS
4.4): Lỗ hổng này xuất hiện trên Redis từ phiên bản 7.0.0 trở lên.
Kẻ tấn công có thể tạo một ACL selector bị lỗi định dạng để gây ra trạng thái
"panic", làm server ngừng hoạt động. Lỗ hổng đã được vá trong
Redis 7.2.7 và 7.4.2.
CVE-2024-46981 (CVSS
7.0): Tất cả các phiên bản Redis có Lua scripting đều bị ảnh hưởng. Kẻ tấn công
có thể tạo Lua script độc hại để khai thác cơ chế garbage collector, từ đó thực
thi mã độc trên server. Phiên bản đã vá gồm Redis 6.2.x, 7.2.x,
và 7.4.x.
2. Khuyến nghị
- Cập nhật Redis:
+ Redis 7.2.7 hoặc 7.4.2 cho
CVE-2024-51741.
+ Redis 6.2.x, 7.2.x,
và 7.4.x cho CVE-2024-46981.
- Giải pháp tạm thời cho
CVE-2024-46981:
Nếu chưa thể cập nhật ngay, hãy vô hiệu hóa Lua scripting bằng cách hạn chế lệnh EVAL và EVALSHA qua
ACL:
`acl setuser default -@all +ping +auth`
Duy An – TTCNTT&TT
Theo Nền tảng
điều phối xử lý sự cố an toàn thông tin mạng quốc gia
Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia