Redis 7.0.12 现已发布,此版本包含了一些安全问题修复。具体更新内容如下:
安全修复:
(CVE-2022-24834) 在 Redis 中执行的特制 Lua 脚本可能会触发 cjson 和 cmsgpack 库中的堆溢出,并导致堆损坏和潜在的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在该问题,并且仅影响经过认证和授权的用户。
(CVE-2023-36824) 在某些情况下,从命令和参数列表中提取键名称可能会触发堆溢出,并导致读取随机堆内存、堆损坏和潜在的远程代码执行。特别是:使用 COMMAND GETKEYS* 并验证 ACL 规则中的键名称。
Bug 修复
当存在分叉子项时重新启用 downscale rehashing ( #12276 )
修复与 <count> 一起使用时 HRANDFIELD、SRANDMEMBER、ZRANDMEMBER 中可能出现的挂起问题 ( #12276 )
改善 RANDOMKEY、HRANDFIELD、SRANDMEMBER、ZRANDMEMBER、SPOP 和 eviction 中的公平性问题 ( #12276 )
修复 WAIT 在被阻止的模块命令被解锁后生效的问题(#12220)
在极少数情况下,避免 master 重新启动后不必要的完全同步(#12088)
更新说明:https://github.com/redis/redis/releases/tag/7.0.12
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
