Print

云数产品是否涉及redis沙箱逃逸漏洞CVE-2022-0543

漏洞描述

漏洞介绍:
Redis
嵌入了Lua编程语言作为其脚本引擎,具备在沙箱中执行Lua脚本的能力,即客户端可以与Lua中的RedisAPI交互,但不能在运行Reids的机器上执行代码。在Debian系列的Linux发行版系统上,由于打包问题,RedisLua解析器初始化后,package变量没有被正确清除,攻击者可以执行任意Lua脚本实现沙箱逃逸(CVE-2022-0543),并在主机上执行任意代码,造成信息泄露等危害。


漏洞影响范围:
Debian Redis < 5:5.0.14-1+deb10u2
Debian Redis <5:6.0.16-1+deb11u2
Debian Redis <5:6.0.16-2
Ubuntu Redis<5:6.0.15-1ubuntu0.1
Ubuntu Redis<5:5.0.7-2ubuntu0.1

漏洞解决方案

云数产品均不涉及该漏洞