パスワード認証で保護されていないRedis Server

critical Nessus プラグイン ID 100634

概要

Redisサーバーはパスワード認証で保護されていません。

説明

リモートホスト上で実行されているRedisサーバーがパスワード認証で保護されていません。リモートの攻撃者がこれを悪用し、サーバーに不正アクセスする可能性があります。

ソリューション

redis.conf構成ファイルで「requirepass」ディレクティブを有効にします。

参考資料

https://redis.io/commands/auth

プラグインの詳細

深刻度: Critical

ID: 100634

ファイル名: redis_password_protection_disabled.nasl

バージョン: 1.2

タイプ: remote

ファミリー: Misc.

公開日: 2017/6/6

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:pivotal_software:redis