近日，在广泛使用的内存数据库Redis中发现了两个严重的漏洞，这两个漏洞不仅威胁到系统的稳定性，还可能导致远程代码执行（RCE）等严重后果。相关漏洞被标记为CVE-2024-51741和CVE-2024-46981，这一发现警示着数百万使用Redis的用户面临较大的安全风险，同时也呼吁大家尽快更新系统以防止潜在的攻击。

首先，针对CVE-2024-51741漏洞的分析显示，该漏洞影响了Redis 7.0.0及以上版本。拥有足够权限的认证用户可以生成一个畸形的访问控制列表（ACL）选择器，该选择器在被访问时会导致Redis服务器崩溃，从而进入拒绝服务（DoS）状态。此问题已经在Redis 7.2.7和7.4.2版本中得到了充分修复，重新提醒Redis用户应尽快升级，以保护自己的系统免受此漏洞的影响。据悉，该漏洞是由安全研究人员Axel Mierczuk所发现，这进一步突显了在开发和维护数据库时进行严格的安全测试的重要性。

其次，CVE-2024-46981所带来的威胁则更加严重。该漏洞赋予认证过的攻击者利用Redis中的Lua脚本功能来执行远程代码的能力，潜在影响极大。这是因为攻击者可以编写恶意的Lua脚本去操纵垃圾收集器，从而有机会在服务器上执行任意代码。此漏洞影响所有开启Lua脚本功能的Redis版本，尤其对Redis 6.2.x、7.2.x和7.4.x版本用户构成显著威胁。针对这一漏洞，开发团队已经发布了补丁，用户应立即更新至最新版本，以避免受到攻击。如果用户在短期内无法进行版本更新，建议通过修改ACL规则来限制插入“EVAL”和“EVALSHA”命令，从而禁用Lua脚本，作为额外的安全防范措施。

通过以上分析，可以看出Redis的这两个新发现的漏洞不仅可能导致业务系统的瘫痪，还可以被利用来执行不受信任的代码，严重威胁到系统的安全性，因此，及时更新Redis的版本至关重要。确保您的系统始终处于更新状态可以显著降低系统遭受攻击的风险。此外，强有力的安全管理措施也显得尤为重要，建议用户在配置Redis服务器时，设置强密码并确保只有被授权的用户可以访问特权命令。

针对用户的具体建议，首先是尽快对现有的Redis进行版本升级，确保安装到分修补漏洞的版本，比如针对CVE-2024-51741的7.2.7或7.4.2版本，及针对CVE-2024-46981的最新版本。同时，作为一项临时解决方案，可以通过修改ACL规则来阻止“EVAL”和“EVALSHA”命令操作，以减少出现此漏洞被利用的可能性。第三，用户应当持续监控系统的访问控制，确保只有受信任的用户能够在Redis服务器上执行特权命令，这一点在整体安全管理中起到至关重要的作用。

总之，Redis作为一种高效的内存数据库，其广泛的应用范围使得其安全问题不容忽视。此次漏洞的曝光不仅提醒我们关注系统的安全性，也强调了在管理数据库时实施严格的安全策略的重要性。作为Redis的用户，强烈建议立即采取相应措施，及时更新软件，增强安全防范，以为应用部署提供一个安全的保障环境。同时，持续关注官方的安全公告，以便能够快速应对未来可能出现的安全风险。

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！