‼️

[긴급] Redis/Valkey 원격 코드 실행 취약점 보안 공지

7 more properties

문서번호: SEC-2025-1013-001

발행일자: 2025년 10월 13일

심각도: CRITICAL (CVSS 10.0)

대상: Redis 및 Valkey 사용 고객 전체

1. 개요

Redis에서 최고 심각도(CVSS 10.0)의 원격 코드 실행(RCE) 취약점이 발견되었습니다. 이 취약점은 약 13년간 존재해 온 Use-After-Free 메모리 손상 버그로, 공격자가 악의적으로 조작된 Lua 스크립트를 통해 Redis 호스트에서 임의의 코드를 실행할 수 있습니다.

CVE ID: CVE-2025-49844 (일명 "RediShell")

발견자: Wiz Research (Benny Isaacs, Nir Brakha, Sagi Tzadik)

공식 패치: 2025년 10월 3일 발표

2. 취약점 상세

2.1 기술적 세부사항

취약점 유형: Use-After-Free (UAF) 메모리 손상

공격 경로: Lua 스크립트 실행 → 가비지 컬렉터 조작 → 샌드박스 탈출 → 호스트 시스템 제어

공격 시나리오:

공격자가 특수 제작된 Lua 스크립트 전송

가비지 컬렉터 조작을 통한 Use-After-Free 상태 발생

Lua 샌드박스를 벗어나 네이티브 코드 실행

Redis 호스트에 접근

2.2 공격 영향

•

✓ 민감한 데이터 유출 (세션 토큰, 인증 정보, 캐시 데이터)

•

✓ 악성코드 및 크립토마이너 설치

•

✓ 시스템 자격증명 탈취 및 횡적 이동

•

✓ 데이터베이스 데이터 암호화/삭제

•

✓ 클라우드 환경 내 추가 서비스 침투

3. 영향받는 버전

3.1 Redis

모든 Lua 스크립팅을 지원하는 Redis 버전 (v8.2.1 이하 전체)

3.2 Valkey

영향받는 버전:

•

Valkey 7.2: v7.2.10 이하

•

Valkey 8.0: v8.0.5 이하

•

Valkey 8.1: v8.1.3 이하

중요: Valkey도 동일한 CVE-2025-49844 취약점에 영향을 받습니다.

4. 패치

공식 사이트에서 패치 제공

다음 버전으로 즉시 업그레이드 하시기 바랍니다:

Redis OSS/CE/Stack:

•

Redis 8.2: → v8.2.2 이상  download.redis.io

•

Redis 8.0: → v8.0.4 이상  download.redis.io

•

Redis 7.4: → v7.4.6 이상  download.redis.io

•

Redis 7.2: → v7.2.11 이상 download.redis.io

•

Redis 6.2: → v6.2.20 이상  download.redis.io

Redis Software (Enterprise):

•

7.22.2-12 이상

•

7.8.6-207 이상

•

7.4.6-272 이상

•

7.2.4-138 이상

•

6.4.2-131 이상

Valkey:

•

Valkey 8.1: → v8.1.4 이상

•

Valkey 8.0: → v8.0.6 이상

•

Valkey 7.2: → v7.2.11 이상

5. OS 패키지 매니저 사용 고객사 대응 가이드

소스컴파일 또는 바이너리 설치가 아닌 리눅스 배포판에서 제공하는 OS 패키지 매니저(rpm,deb)로 설치한 고객사

5.1 배포판별 패치 현황 (2025년 10월 31일 기준)

배포판	패치 상태	패치 버전	확인 방법	권장 조치
SUSE Linux Enterprise 15 SP6/SP7	패치 제공	Redis: 7.2.6 Redis7: 7.4.2 Valkey: 8.0.6	SUSE Security CVE-2025-49844	즉시 업데이트
SUSE Linux Enterprise 15 SP3/SP4/SP5-LTSS	패치 제공	Redis: 6.2.6/7.0.8	SUSE Security	즉시 업데이트
openSUSE Leap 15.6	패치 제공	Redis/Redis7/Valkey	SUSE Security	즉시 업데이트
Ubuntu 24.04 LTS	패치 제공	redis:5:7.0.15	Ubuntu Security Tracker	즉시 업데이트
Ubuntu 22.04 LTS	패치 제공	redis:5:6.0.16	Ubuntu Security Tracker	즉시 업데이트
Ubuntu 20.04 LTS	패치 제공	redis:5:5.0.7	Ubuntu Security Tracker	즉시 업데이트
Debian 12 (Bookworm)	패치 제공	redis:5:7.0.15	Debian Security Tracker	즉시 업데이트
Debian 11 (Bullseye)	패치 제공	redis:5:6.0.16	Debian Security Tracker	즉시 업데이트
RHEL 9	패치 제공	redis/redis:7	Red Hat CVE Portal	즉시 업데이트
RHEL 8	패치 제공	redis:6	Red Hat CVE Portal	즉시 업데이트
Rocky Linux 9	확인 중		Rocky Linux Errata	임시 완화 조치 적용
Rocky Linux 8	확인 중	-	Rocky Linux Errata	임시 완화 조치 적용

범례:

•

 패치 제공: 공식 저장소에서 패치 버전 사용 가능

•

 확인 중:  패치가 필요하지만 공식 저장소에 아직 패치가 없음 

5.2 배포판별 패치 제공 예상 시기

•

SUSE:  이미 제공됨 (2025년 10월 8-9일)

•

Ubuntu/Debian: CVE 공개 후 1-3주 소요 → 10월 중순~말 예상

•

RHEL: CVE 공개 후 1-2주 소요 → 10월 중순 예상

•

Rocky Linux: RHEL 패치 후 1-3일 소요 → RHEL 패치 직후 예상

5.3 배포판별 모니터링 링크

리눅스 배포판 별 보안 페이지:

배포판	보안 트래커 URL
SUSE	https://www.suse.com/security/cve/CVE-2025-49844.html
Ubuntu	https://ubuntu.com/security/CVE-2025-49844
Debian	https://security-tracker.debian.org/tracker/CVE-2025-49844
Red Hat	https://access.redhat.com/security/cve/cve-2025-49844
Rocky Linux	https://errata.rockylinux.org/

5.2 현재 설치된 Redis/Valkey 버전 확인

# Redis 버전 확인
redis-server --version
# 또는
redis-cli INFO server | grep redis_version

# Valkey 버전 확인
valkey-server --version
Bash
복사

중요: 패치가 배포될 때까지 반드시 임시 완화 조치를 적용하세요.

6. 임시 완화 조치 (즉시 패치가 불가능한 경우)

즉시 업그레이드가 어려운 경우 다음 완화 조치를 반드시 적용하세요:

6.1 ACL을 통한 Lua 명령 및 스크립트 제한

Redis의 ACL을 사용해 EVAL 및 EVALSHA 등 Lua 관련 명령 제한을 통해 임시 완화 조치를 적용할 것을 권고드립니다.

또한, 사용자 스크립팅 권한을 취소하거나 스크립팅 명령을 비활성화하여 보안을 강화하시는 것을 추천드립니다.

6.2 네트워크 접근 제한

# redis.conf 설정
bind 127.0.0.1 ::1  # 신뢰할 수 있는 IP만 허용
protected-mode yes
requirepass [강력한_비밀번호]
Bash
복사

6.3 방화벽 규칙 강화

•

Redis 포트(기본 6379)를 신뢰할 수 있는 IP 주소로만 제한

•

인터넷 직접 노출 차단

•

VPC/서브넷 수준 격리

6.4 권한 최소화

•

Redis를 root가 아닌 전용 계정으로 실행

•

컨테이너 환경에서는 읽기 전용 파일 시스템 사용

7. 추가 보안 권장사항

7.1 장기 보안 강화

강력한 인증 활성화

•

requirepass 설정으로 강력한 암호 적용

•

Redis 6.0+ ACL 기능 활용

정기 보안 감사

•

Redis 인스턴스 노출 현황 정기 점검

•

접근 로그 모니터링 체계 구축

최소 권한 원칙

•

애플리케이션별 전용 ACL 사용자 생성

•

Lua 스크립팅이 불필요한 경우 비활성화

클라우드 환경 특별 고려사항

•

SCP CacheStore, AWS ElastiCache, Azure Cache for Redis, GCP Memorystore 사용자는 클라우드 제공자의 패치 일정 확인

•

자체 관리 인스턴스의 경우 즉시 업데이트 필요

8. 참고 자료

Redis:

•

Redis 공식 보안 공지: https://redis.io/blog/security-advisory-cve-2025-49844/

•

GitHub 보안 Advisory: https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

•

NVD 정보: https://nvd.nist.gov/vuln/detail/CVE-2025-49844

•

Wiz Research 분석: https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844

Valkey:

•

GitHub 보안 Advisory: https://github.com/valkey-io/valkey/security/advisories/GHSA-9rfg-jx7v-52p6

•

Valkey 공식 릴리스: https://github.com/valkey-io/valkey/releases

9. 지원 및 문의

본 취약점과 관련하여 추가 지원이 필요하신 경우 에스코어 Redis 기술지원팀으로 연락 바랍니다.

기술지원 센터

•

이메일: redis.score@samsung.com

•

웹: https://oss-techservice.s-core.co.kr/

보안 대응 절차:

영향받는 인스턴스 식별

시스템 영향도 분석 및 가이드 작성 (에스코어 기술지원팀)

패치 적용 일정 수립

임시 완화 조치 즉시 적용

패치 적용 및 검증

10. 변경 이력

날짜	버전	내용
2025-10-13	1.0	최초 발행
2025-10-31	1.1	배포판 패치현황 업데이트

본 공지의 심각도를 고려하여 최우선으로 조치해 주시기 바랍니다.

문의사항이 있으시면 언제든지 Redis 기술지원팀으로 연락 주시기 바랍니다.

감사합니다.