月份: 2020 年 4 月

趨勢科技發現有8,000個不安全Redis執行實例在世界各地運行著，有些甚至部署到公共雲上。這些Redis執行實例並未使用TLS加密也沒有密碼保護。根據開發者的說法，Redis原本是設計在受信任環境裡使用。如果放任其不受保護並允許其面向外部網路或整合進物聯網（IoT）裝置，則網路犯罪份子就能夠找到Redis伺服器並用來發動如SQL注入、跨站腳本、惡意檔案上傳甚至是遠端攻擊程式碼執行等攻擊。駭客還可以查看、存取和修改暴露Redis執行實例的儲存資料。過去曾發生過名為Fairware的假勒索病毒攻擊了被駭Linux伺服器上18,000個不安全的Redis執行實例。

我們已經與Redis取得聯繫，他們分享了Redis有保護模式的配置，此配置自2017年7月發表的Redis 4.0就開始提供。同時也已經向下移植到之前的版本Redis 3.2.0。如果使用預設配置運行Redis而沒有設置密碼保護時就會進入保護模式。在此模式下，Redis只會回應來自Loopback介面的查詢，如果從其他IP地址連到Redis的客戶端則會收到錯誤訊息。這是種額外的保護措施來減少不安全Redis執行實例遭受外部網路連線的機會。但Redis警告說，儘管在保護模式下會發送錯誤訊息，系統管理員仍然可以忽略這些訊息，手動綁定所有介面，甚至完全停用保護模式。

Redis還分享了他們計劃在2020年4月發表的Redis 6.0穩定版，此版本會具備存取控制列表（ACL）和TLS，有可以顯著地提高Redis安全性。

什麼是Redis？

Redis是Remote Dictionary Server的縮寫，是款熱門的開放原始碼記憶體內資料存放區，被用於資料庫、快取和訊息代理程式。因為Redis駐留在記憶體內，因此能夠為多種需要處理大量連線的應用程式（如聊天室和即時通、金融服務、醫療保健和遊戲等）提供短於毫秒的回應速度。