【2024年10月28日】CVE-2024-31449、CVE-2024-31227与 CVE-2024-31228安全漏洞

最后更新时间：2025-07-11 14:34:07

【2024年10月28日】CVE-2024-31449、CVE-2024-31227与 CVE-2024-31228安全漏洞

最后更新时间： 2025-07-11 14:34:07

近期，Redis 被暴露存在 CVE-2024-31449、CVE-2024-31228与 CVE-2024-31227 漏洞。腾讯云数据库 Redis® 已针对相关漏洞完成修复，建议您尽快升级到最新的实例小版本，确保业务安全和稳定运行。
漏洞影响
﻿CVE-2024-31449：经过 AUTH 命令鉴权验证过后的用户，使用特制编写的 lua 攻击脚本，可以触发库 bit library 的栈缓冲区溢出，可能导致进程崩溃，可能导致 Remote Code Execution 远程代码执行。
﻿CVE-2024-31227：经过 AUTH 命令鉴权验证过后的用户，创建一个非法的 ACL selector 后，使用 ACL LIST / ACL GETUSER 等命令会触发进程断言失败，从而导致进程崩溃，导致 Denial-of-server 拒绝服务。
﻿CVE-2024-31228：经过 AUTH 命令鉴权验证过后的用户，在数据库里创建特制的长字符串键，使用支持字符串匹配的命令，例如 KEYS / SCANS 等命令，使用特制的长字符串匹配模式，匹配极长的字符串，可能会导致无限递归，将进程挂起，可能导致栈溢出和进程崩溃，导致 Denial-of-server 拒绝服务。
版本修复说明
升级 Redis 实例至如下表所示的小版本即可修复安全漏洞。具体操作，请参见 升级实例版本。
兼容版本
小版本
优化&修复
Redis 7.0
7.0.20
CVE-2024-31449、CVE-2024-31227、CVE-2024-31228安全漏洞修复。
Redis 6.2
6.2.9
CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。
Redis 5.0
5.2.11
CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。
Redis 4.0
4.3.12
CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。
参考链接
﻿Redis 官方公告：Security Advisory: CVE-2024-31449, CVE-2024-31227, CVE-2024-31228。

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

是

否

文档反馈

兼容版本	小版本	优化&修复
Redis 7.0	7.0.20	CVE-2024-31449、CVE-2024-31227、CVE-2024-31228安全漏洞修复。
Redis 6.2	6.2.9	CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。
Redis 5.0	5.2.11	CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。
Redis 4.0	4.3.12	CVE-2024-31449 与 CVE-2024-31228安全漏洞修复。

tencent cloud

漏洞影响

版本修复说明

参考链接