问题描述

记录关于两个Redis漏洞 (CVE-2024-51741, CVE-2024-46981) 在Azure Redis上是否存在安全风险的问题？

CVE-2024-51741 

Redis 是一个开源的内存数据库，它持久保存在磁盘上。具有足够权限的经过身份验证的 ACL 选择器可能会创建格式错误的 ACL 选择器，该选择器在访问时会触发服务器 panic 和随后的拒绝服务。

此问题已在 Redis 7.2.7 和 7.4.2 中修复。

CVE-2024-46981 

Redis 是一个开源的内存数据库，它持久保存在磁盘上。经过身份验证的用户可能会使用特制的 Lua 脚本来纵垃圾回收器，并可能导致远程代码执行。

此问题已在 7.4.2、7.2.7 和 6.2.17 中修复。

在不修补 redis-server 可执行文件的情况下缓解问题的另一种解决方法是阻止用户执行 Lua 脚本。

这可以使用 ACL 来完成，以限制 EVAL 和 EVALSHA 命令。

以上两个CVE是否在Azure Redis存在呢？ 如果存在，是否会及时修复呢？

问题解答

现在Azure Redis使用的版本为6.0, 所以，可以根据版本信息来确认当前Redis是否被该CVE影响。

对于 CVE-2024-51741（由于 ACL 选择器格式错误而导致的拒绝服务）,  Azure Redis 不会受到它的影响。 而 CVE-2024-46981（Lua 脚本命令可能导致远程代码执行）的修复程序都已在第一时间得到修复。因此，A阻热Redis 不受此CVE 的影响。

因为 Azure 上的所有服务都是及时修复最新的程序漏洞。同时，基于Azure 云安全标准：https://learn.microsoft.com/zh-cn/security/benchmark/azure/baselines/azure-cache-for-redis-security-baseline

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!