共计 1343 个字符,预计需要花费 4 分钟才能阅读完成。
2021 年 7 月 22 日,Redis 官网和开源 Redis 社区先后发布公告,披露了 CVE-2021-32761 Redis(32 位)近程代码执行破绽,本次破绽的代码修复曾经公布,官网倡议用户尽快降级到开源 Redis6.2.5, 6.0.15, 5.0.13 这三个平安版本。华为云 GaussDB(for Redis)的用户不受影响,请持续放心使用。
通过本次破绽能够发现,开源 Redis 对 BITFIELD 等命令的代码实现上存在问题,导致了对 string 数据类型的操作存在安全隐患。随时可能被歹意触发整形溢出 BUG,甚至还会被歹意执行近程代码。因而,给了黑客可乘之机。那么,对于此类数据库安全破绽该如何防患于未然?数据库破绽属于软件破绽中的一种,次要是被用来冲破零碎的安全策略。数据库破绽往往会影响很大一个范畴,除了影响数据库本身,还包含数据库所在操作系统和数据库所在局域网的整体平安。通常来说,防备和补救措施有:1. 紧跟官网告诉,排查并降级数据库到平安版本。本次破绽事件中,开源 Redis 用户应第一工夫实现降级;
2. 若短时无奈降级,则从服务端开启拜访限度,禁用危险命令;3. 通过白名单拜访 IP 等安全策略,进步入侵难度;4. 抉择牢靠的云服务厂商,比方迁徙至华为云数据库 GaussDB(for Redis),可全方位保障数据的安全可靠。华为云 GaussDB(for Redis)从源头杜绝安全漏洞
全新数据编码更平安 :华为云数据库 GaussDB(for Redis) 采纳先进存算拆散架构,兼容 Redis 协定,提供海量数据的长久化存储。在代码实现上齐全自研,采纳全新数据编码,更高效,空间使用率也更高。外部每种命令的实现并不依赖开源 Redis,因而,不会受到相似本次开源 Redis 安全漏洞的影响。
平安防护体系全面保障 :基于华为云牢靠的现网平安体系,应用 GaussDB(for Redis) 的用户能够随时制订本人的白名单 IP 拜访策略。还能够通过虚构公有云、子网、平安组、DDoS 防护以及 SSL 平安拜访等多层平安防护体系,无力地抗击各种歹意攻打,保障数据安全,不给未知起源的歹意拜访留有任何机会。
上云无忧,GaussDB(for Redis)提供一站式迁徙服务 华为云数据库 GaussDB(for Redis)是一款齐全自研的旗舰产品,是反对 Redis 协定的 NoSQL 数据库,而不是缓存。与开源 Redis 最大的区别是,它具备存算拆散架构,提供弱小的数据存储能力,包含强统一、弹性扩缩容等高级个性。GaussDB(for Redis)为用户带来了更低成本、更大容量、更高牢靠、且弹性伸缩的极佳产品体验。对于正在应用开源 Redis2.6 以上各版本的用户,GaussDB(for Redis)还提供了一站式的迁徙服务,无需技术门槛,操作简略快捷,仅需分钟级就能搭建起迁徙工作,让整个环境搭建“高效疾速”,为企业上云保驾护航,再无平安之忧。
随同数据价值的一直晋升,作为海量数据的载体,数据库所需面对的安全隐患和危险也随之减少,但无论是 DBA 还是云服务厂商都应该建立良好的安全意识,能力更好的保障数据库安全。华为云数据库将继续满足不同数据库的平安防护需要,为数据库及数据安全建设倒退提供无力撑持,让用户对数据应用更自在、更平安!
本文由华为云公布