Комментарии 4
«На Linux вирусов нет!» — говорили они…
Да что не так с этим миром. Не успеваешь закрывать на серверах потенциально старые уязвимости, люди придумывают новые.
Да какие уязвимости. У redis дизайн такой, его НЕ НУЖНО выставлять наружу в интернет, даже с паролем. О чем в доках и написано (https://redis.io/topics/security):
И даже если есть аутентификация, то советуют ее включать только как дополнительное средство защиты:
Многие просто игнорируют рекомендации, за это и страдают. Там же protected mode по умолчанию включен, то есть его видимо выключают.
Redis is designed to be accessed by trusted clients inside trusted environments. This means that usually it is not a good idea to expose the Redis instance directly to the internet or, in general, to an environment where untrusted clients can directly access the Redis TCP port or UNIX socket.
И даже если есть аутентификация, то советуют ее включать только как дополнительное средство защиты:
The goal of the authentication layer is to optionally provide a layer of redundancy. If firewalling or any other system implemented to protect Redis from external attackers fail, an external client will still not be able to access the Redis instance without knowledge of the authentication password.
Многие просто игнорируют рекомендации, за это и страдают. Там же protected mode по умолчанию включен, то есть его видимо выключают.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обнаружена новая вспышка H2Miner червей, которые эксплуатируют Redis RCE