Redis 代码执行漏洞分析：CVE-2024-46981

漏洞概述

Redis，作为一款使用ANSI C编写的开源、支持网络、基于内存的键值对存储数据库，因其出色的性能和灵活性而被广泛应用。然而，最近发现的一个安全漏洞（CVE-2024-46981）揭示了Redis在处理Lua脚本引擎内存管理时存在潜在风险。具体来说，经过身份验证的用户可以通过精心构造的Lua脚本操纵内存回收机制，并通过EVAL或EVALSHA命令执行该恶意脚本，从而可能在Redis服务器上执行任意代码。

风险等级评估

• 威胁等级: 高危
• 影响面: 广泛
• 攻击者价值: 高
• 利用难度: 低
• CVSS 3.1 分数: 9.8

这一高评分表明，若不加以修复，该漏洞将对使用Redis的企业和个人造成重大安全隐患。

影响范围

此漏洞主要影响以下版本的Redis：

• Redis < 7.4.2
• Redis < 7.2.7
• Redis < 6.2.17

值得注意的是，如果Redis配置未限制Lua脚本的执行（例如未通过ACL配置限制EVAL和EVALSHA命令），则任何使用Lua脚本的Redis实例都将面临此漏洞的风险。

建议措施

鉴于该漏洞的严重性，强烈建议所有受影响的用户尽快升级到最新的Redis版本。此外，为了进一步增强安全性，考虑采取以下预防措施：

• 使用访问控制列表（ACL）限制对EVAL和EVALSHA命令的访问。
• 定期检查并应用官方发布的安全补丁。
• 对Redis服务器进行监控，及时发现并响应异常行为。

保持软件更新和实施严格的安全策略是防范此类漏洞的关键步骤。通过采取上述措施，可以有效降低遭受攻击的风险。

禁用Lua脚本

在Redis中，禁用Lua脚本执行可以通过配置文件中的参数设置来实现。具体步骤如下：

1. 编辑Redis配置文件：找到你的Redis配置文件，通常名为redis.conf。

2. 修改配置文件：

   • 查找或添加以下行到配置文件中：

     lua-time-limit 0
     

     • 1

     将lua-time-limit设置为0可以禁止执行Lua脚本。不过，这个参数实际上是用来限制Lua脚本的最大执行时间（以毫秒为单位），将其设为0并不是直接禁用Lua脚本的最佳实践，因为它的初衷不是为了禁用脚本。

   • 实际上，Redis并没有提供一个直接的配置项用于完全禁用Lua脚本。如果你的目标是提高安全性，防止不信任的Lua脚本被执行，你可以考虑使用更严格的ACL（Access Control List）规则。从Redis 6.0开始支持ACL功能，你可以通过ACL规则限制某些用户执行EVAL和EVALSHA命令。

3. 使用ACL限制Lua脚本执行：

   • 你可以创建一个ACL规则，限制特定用户不能执行Lua相关命令，例如：

     ACL SETUSER myuser -@all +@read +@write -EVAL -EVALSHA
     

     • 1
     上面的命令创建了一个名为myuser的用户，允许读写操作，但是不允许执行EVAL和EVALSHA命令。

4. 重启Redis服务：完成上述配置后，需要重启Redis服务使配置生效。

请注意，直接禁用Lua脚本可能会影响到依赖于这些脚本的功能。因此，在做出此更改之前，请确保了解其对现有服务或应用的影响。