漏洞介绍:
Redis嵌入了Lua编程语言作为其脚本引擎,具备在沙箱中执行Lua脚本的能力,即客户端可以与Lua中的RedisAPI交互,但不能在运行Reids的机器上执行代码。在Debian系列的Linux发行版系统上,由于打包问题,Redis在Lua解析器初始化后,package变量没有被正确清除,攻击者可以执行任意Lua脚本实现沙箱逃逸(CVE-2022-0543),并在主机上执行任意代码,造成信息泄露等危害。
漏洞影响范围:
Debian Redis < 5:5.0.14-1+deb10u2
Debian Redis <5:6.0.16-1+deb11u2
Debian Redis <5:6.0.16-2
Ubuntu Redis<5:6.0.15-1ubuntu0.1
Ubuntu Redis<5:5.0.7-2ubuntu0.1
云数产品均不涉及该漏洞
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作