Redis广泛用于缓存、消息中间件和实时分析的内存数据存储系统,近日发布安全通告,披露了一个拒绝服务(DoS)漏洞,编号为CVE-2025-48367,CVSS v4评分为7.0(高危)。该漏洞源于认证用户对Redis多批量命令协议的滥用,可能影响服务可用性。
该漏洞由安全研究员 Gabriele Digregorio 负责任地披露,并由 Redis 开发团队验证。漏洞允许已认证客户端滥用命令协议行为,进而触发异常处理逻辑,导致服务性能下降或宕机。虽然该问题不违反Redis核心安全模型(即:认证用户被视为可信),但确实可被恶意利用造成可用性影响。
“该问题依赖于对Redis命令网络协议的滥用,前提是用户已通过身份认证。因此,它未违反Redis安全模型……但仍可能被用于破坏服务可用性。”——官方通告指出。
令人关注的是,Redis团队决定不通过代码修复直接解决该问题,理由是此举可能会影响正常功能或降低系统性能。
“我们的评估认为,若为防御此类滥用修改Redis核心协议,将对合法功能和整体性能造成负面影响。”
“因此,我们不计划发布针对该漏洞的直接修复补丁,而是通过安全公告提醒用户加强防御。”
尽管如此,Redis还是在以下四个活跃分支版本中发布了更新补丁,包含稳定性改进,并可能引入间接缓解措施。
鉴于该漏洞的本质,Redis 强烈建议用户从访问控制和身份管理层面加强防护措施:
-
启用强身份认证机制,避免将Redis暴露在不受信任的网络中;
-
结合企业身份管理系统统一接入Redis,提升安全可控性;
-
全面回顾并实施Redis官方安全最佳实践,防范已认证用户的滥用行为。
发表评论
您还未登录,请先登录。
登录