Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости

10.01.2024 17:31

В корректирующих выпусках СУБД Redis 7.0.15 и 7.2.4 устранена опасная уязвимость (CVE-2023-41056), которая потенциально может привести к удалённому выполнению кода из-за записи данных в область за пределами выделенного буфера. Проблема проявляется начиная с выпуска Redis 7.0.9 и вызвана некорректным вычислением параметров буфера в функции sdsResize при выполнении запроса изменения размера.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60415-redis

Ключевые слова: redis

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.2, Аноним (2), 17:55, 10/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–3 +/–
> it could forget to update the sds type in the sds header and then cause an overflow in sdsalloc Дыряшка во всей своей красе!

1.3, another_one (ok), 17:56, 10/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–4 +/–
> из-за записи данных в область за пределами выделенного буфера Защитники Си, вы где, ау!

2.4, Аноним (4), 18:10, 10/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+4 +/–
Да вот они https://kitaigid.ru/wp-content/uploads/2022/07/530245_062907_updates.webp

2.5, Аноним (5), 18:31, 10/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Предложи другую технологию.

3.16, лютый жабби.... (?), 19:57, 10/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–5 +/–
>Предложи другую технологию. ты не поверишь, но ваш однопоточный редис тормозное гуанцо. у нормальных нешкольников hazelcast и подобное

4.23, Аноним (23), 22:38, 10/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+4 +/–
> у нормальных нешкольников hazelcast Ну да, блоатварь на жабке будет быстрее, инфа 100%.

2.7, C00l_ni66a (ok), 19:04, 10/01/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

2.13, Аноним (13), 19:39, 10/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Ну вообще-то, чтобы не было уязвимостей на сишке, на крупный проект лет 30 времени уйдет на написания, если программист будет обдумывать последствия каждой строчки. Вот и выходит: сначала пишут - потом CVE, времени ни у кого нет бесплатного.

3.14, Аноним (13), 19:44, 10/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
И если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.

4.17, лютый жабби.... (?), 20:00, 10/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–4 +/–
>если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе. дык, у редиса и так быстродействие ниже плинтуса, можно уже не напрягаться ) оно висит отдельной прогой и по сети (ну может юникс сокету, я ваше г не юзаю) отвечает. хочешь скорости, держи кеш в самом приложении

5.27, User (??), 07:49, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
... и трахайся с синхронизацией кэшей между репликами. Да. Сiмъ победимъ!

6.33, лютый жабби.... (?), 21:39, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
> и трахайся с синхронизацией кэшей между репликами 1. из коробки 2. далеко не всегда оно надо

7.34, User (??), 07:07, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>> и трахайся с синхронизацией кэшей между репликами > 1. из коробки > 2. далеко не всегда оно надо Ну да - если одной реплики хватает, то "изкоробочная" синхронизация кэшей через астрал (По сети\через сокет жи медленно!) кагбэ и нинужна, тут не поспоришь.

8.35, лютый жабби.... (?), 15:41, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
зачем кеши синхронизировать, дауненок ещё и в блокирующем режиме ... текст свёрнут, показать

9.36, User (??), 15:52, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Решительно незачем, Вы правы Да и сам кэш не очень-то нужен, правда Ну придет ... текст свёрнут, показать

3.25, Аноним (25), 04:36, 11/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
> лет 30 времени уйдет на написания Где-то громко заржал очередной Copilot подобный плагин. Вылезай уже из своей криокамеры. В блокноте код давно никто не пишет. Даже без AI полно средств для безопасного написания кода на любом языке.

4.26, User (??), 07:48, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Танк секретный. Ученые могут не знать!

4.29, Аноним (13), 09:39, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Ну вот ты сказал - всё супер, а новые CVE на сишке как были везде 20 лет назад, так и сейчас есть.

3.30, BeLord (ok), 10:09, 11/01/2024 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Нормальный программист думает всегда над тем, что делает. Смузишколота хреначит черт знает что, потом удивляется, что ресурсы жрет и падает их поделие. Едем дальше, считать деньги для любого нормального PM естественно, как следствие, во многих случаях выгодней написать нормально сразу, а не рефакторить и тестировать до второго пришествия и только эффективные манагеры пургу гонят, а потом конторы разоряются.

2.15, лютый жабби.... (?), 19:55, 10/01/2024 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

>Защитники Си, вы где, ау!

dnf module list redis
redis 5 [d]
redis 6

свидетель доцкер:latest ?

2.28, Lost Inside (ok), 09:19, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
И действительно. Конпелятор же создает кодъ. А программёр - прокладка между стулом и клавой. Не удивлюсь, если растофилы именно так и считают.

2.31, adolfus (ok), 19:56, 11/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
BerkeleyDB в Oracle пилят.

1.24, Аноним (25), 04:33, 11/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
> Redis Оно же уже под не_свободной лицензией?

1.32, Аноним (32), 20:19, 11/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Без Сальвадора уже не то

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: