Moait
홈인기 피드모든 블로그모든 태그
홈인기 피드모든 블로그모든 태그
Redis와 Valkey를 해킹해 보자(Feat. CVE ID) 섬네일

Redis와 Valkey를 해킹해 보자(Feat. CVE ID)

NHN Cloud faviconNHN Cloud·Backend·
RedisLuaValkeyRESP
2026년 07월 06일0

AI 요약

이 글은 AI가 요약했어요. 정확한 내용은 꼭 원문을 확인해 주세요!

핵심 요약

NHN Cloud의 연구팀이 CVE-2025-67733에 대한 RESP 인젝션 취약점을 분석하고, EVAL 기반 Lua 스크립트 실행 흐름에서 오류 처리 경로를 악용해 소켓 포이즈닝과 DoS 가능성을 설명했습니다.

주요 경험

  • RESP 프로토콜 흐름과 Lua 스크립트 실행 경로(luaCallFunction, lua_pcall)의 취약 포인트를 확인
  • redis.error_reply로 생성된 오류 테이블이 error()를 트리거해 클라이언트에 잘못된 응답으로 전송되는 경로를 파악
  • sdstrim의 양 끝 제거 동작으로 인한 악성 페이로드 유입 가능성과 버퍼 상태 조작을 식별

얻은 인사이트

  • 에러 경로의 입력 검증 부족이 데이터 변조 및 RESP 응답 경계 분해의 원인이 됨
  • 서버 사이드 출력 버퍼(c->buf) 관리의 취약점이 소켓 포이즈닝과 DoS로 이어질 수 있음
  • 작은 문자열 처리 로직도 보안에 큰 영향을 미칠 수 있으며, 출력 경로의 일관성 강화를 권고

연관 피드

%가 높을수록 이 글과 비슷할 가능성이 높아요!
React와 DoS 섬네일
67%

React와 DoS

안랩클라우드메이트 favicon안랩클라우드메이트·2026년 03월 10일
Amazon ElastiCache for Valkey의 CESC로 Interactive AI 스토리텔링 플랫폼 최적화하기 섬네일
66%

Amazon ElastiCache for Valkey의 CESC로 Interactive AI 스토리텔링 플랫폼 최적화하기

AWS faviconAWS·2026년 05월 14일
No Image
63%

Redis New Connection 증가 이슈 돌아보기

우아한형제들 favicon우아한형제들·2025년 10월 14일