近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Redis代碼注入漏洞（CNNVD-202202-1622、CVE-2022-0543）情況的報送。成功利用此漏洞的攻擊者，可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼，進(jìn)而控制目標(biāo)服務(wù)器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。目前，Redis官方已發(fā)布新版本修復(fù)了漏洞，請用戶及時確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

　　一、漏洞介紹

　　Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值（Key-Value）存儲數(shù)據(jù)庫。Redis存在代碼注入漏洞，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行沙箱逃逸攻擊，最終獲取服務(wù)器最高權(quán)限。

　　二、危害影響

　　成功利用此漏洞的攻擊者，可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼，進(jìn)而控制目標(biāo)服務(wù)器。Redis 5.x系列 5.0.14以下版本、Redis 6.x系列 6.0.16以下版本、Redis 7.x系列 7.0-rc2以下版本均受漏洞影響。

　　三、修復(fù)建議

　　目前，Redis官方已發(fā)布新版本修復(fù)了漏洞，請用戶及時確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。官方鏈接如下：

　　https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787

　　本通報由CNNVD技術(shù)支撐單位——華為技術(shù)有限公司、深信服科技股份有限公司、長亭科技股份有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、新華三技術(shù)有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、北京華云安信息技術(shù)有限公司提供支持。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。聯(lián)系方式： cnnvdvul@itsec.gov.cn