Lỗ hổng DoS nghiêm trọng trong Redis (CVE-2025-21605): Hiểu và khắc phục
Một lỗ hổng Denial-of-Service (DoS) nghiêm trọng mới được phát hiện trong Redis, được gán mã định danh CVE-2025-21605, đang đặt ra mối đe dọa lớn cho các hệ thống sử dụng phần mềm này. Lỗ hổng cho phép kẻ tấn công không cần xác thực làm cạn kiệt tài nguyên bộ nhớ thông qua việc khai thác cơ chế tăng trưởng không giới hạn của output buffer. Trong bài viết này, chúng ta sẽ phân tích chi tiết về lỗ hổng, tác động của nó, và các biện pháp khắc phục hiệu quả dành cho các quản trị viên hệ thống.
Thông tin chi tiết về lỗ hổng CVE-2025-21605
- Mô tả lỗ hổng: Lỗ hổng nằm ở cách Redis xử lý phản hồi với thông điệp “NOAUTH” khi người dùng chưa xác thực cố gắng kết nối. Buffer đầu ra (output buffer) có thể tăng trưởng vô hạn khi các thông điệp này tích lũy, dẫn đến cạn kiệt bộ nhớ và làm sụp đổ hệ thống.
- Phiên bản ảnh hưởng: Tất cả các phiên bản Redis từ 2.6 trở lên đều bị ảnh hưởng. Đối với Redis Enterprise Software, lỗ hổng tồn tại từ phiên bản 7.22.0-28 trở lên.
- Mức độ nghiêm trọng: Lỗ hổng được đánh giá với điểm CVSS 7.5, thuộc mức cao, nhấn mạnh mối nguy hiểm tiềm tàng đối với các hệ thống chưa được vá.
Tác động và rủi ro thực tế
Lỗ hổng này đặc biệt nguy hiểm vì nó không yêu cầu kẻ tấn công phải xác thực để khai thác. Một cuộc tấn công thành công có thể gây ra tình trạng memory exhaustion, khiến dịch vụ Redis ngừng hoạt động và ảnh hưởng đến toàn bộ hệ thống. Các tổ chức sử dụng Redis làm cơ sở dữ liệu in-memory cho các ứng dụng quan trọng cần ưu tiên xử lý lỗ hổng này để đảm bảo tính liên tục của dịch vụ.
Các biện pháp khắc phục
Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-21605, quản trị viên cần triển khai một hoặc nhiều biện pháp sau:
- Nâng cấp phiên bản Redis: Đây là giải pháp hiệu quả nhất. Hãy tải và cài đặt phiên bản đã được vá từ trang web chính thức của Redis. Quy trình nâng cấp bao gồm:
- Tải phiên bản mới nhất từ trang chủ Redis.
- Dừng instance Redis hiện tại.
- Thay thế file thực thi Redis cũ bằng phiên bản mới.
- Khởi động lại instance Redis.
- Áp dụng kiểm soát truy cập mạng: Hạn chế kết nối từ các nguồn không xác thực bằng cách cấu hình firewall hoặc các quy tắc mạng:
- Chặn kết nối inbound tới cổng mặc định của Redis (6379) bằng lệnh iptables:
sudo iptables -A INPUT -p tcp --dport 6379 -j DROP - Sử dụng các security group trên nền tảng đám mây để giới hạn truy cập tới instance Redis.
- Chặn kết nối inbound tới cổng mặc định của Redis (6379) bằng lệnh iptables:
- Kích hoạt TLS và xác thực chứng chỉ client: Sử dụng giao thức TLS và yêu cầu chứng chỉ phía client để tăng cường bảo mật cho kết nối tới Redis, giảm nguy cơ bị tấn công từ các nguồn không đáng tin cậy.
- Giới hạn kích thước Output Buffer: Trong trường hợp chưa thể nâng cấp ngay, quản trị viên có thể giảm thiểu rủi ro bằng cách giới hạn kích thước output buffer thông qua thông số client-output-buffer-limit. Ví dụ cấu hình trong file redis.conf:
client-output-buffer-limit normal 128mb 64mb 0Ngoài ra, có thể thiết lập tạm thời bằng lệnh redis-cli:
redis-cli CONFIG SET client-output-buffer-limit normal 128mb 64mb 0
Kết luận
Lỗ hổng DoS trong Redis (CVE-2025-21605) là một mối đe dọa nghiêm trọng đối với bất kỳ hệ thống nào đang chạy các phiên bản chưa được vá. Việc nâng cấp lên phiên bản mới nhất, kết hợp với các biện pháp kiểm soát truy cập mạng và cấu hình bảo mật, là cách tốt nhất để bảo vệ hệ thống của bạn. Quản trị viên cần hành động ngay lập tức để giảm thiểu nguy cơ memory exhaustion và đảm bảo tính ổn định của dịch vụ Redis.
