The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей

04.10.2021 20:40

Опубликованы корректирующие выпуски CУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий.

  • Четыре уязвимости (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) могут привести к переполнению буфера при обработке специально оформленных команд и сетевых запросов, но для эксплуатации необходимо чтобы некоторые параметры конфигурации (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) были выставлены в очень большие значения.
  • Уязвимость CVE-2021-32762 может привести к переполнению буфера в redis-cli и redis-sentinel при разборе больших ответов на старых платформах.
  • Уязвимость CVE-2021-32675 может привести к отказу в обслуживании при обработке интенсивно потупающих RESP-запросов с большим числом элементов.
  • Уязвимость CVE-2021-32672 может привести к чтению содержимого памяти через манипуляции с Lua Debugger.
  • Уязвимость CVE-2021-32626 позволяет вызвать переполнение буфера при запуске специально оформленных Lua-скриптов.


  1. Главная ссылка к новости (https://github.com/redis/redis...)
  2. OpenNews: Создатель СУБД Redis передал сопровождение проекта сообществу
  3. OpenNews: Выпуск СУБД Redis 6.0
  4. OpenNews: Компания Redis Labs перевела модули с Commons Clause на собственную несвободную лицензию
  5. OpenNews: Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis
  6. OpenNews: Изменение лицензионной политики проекта Redis
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55919-redis
Ключевые слова: redis
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, QwertyReg (ok), 20:54, 04/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >привести к переполнению буфера
    >переполнение буфера
    >могут привести к переполнению буфера

    Нет-нет, нам точно не нужен язык с защитой памяти.

     
     
  • 2.2, Аноним (2), 20:59, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он нам и ##### не нужен ваш язык!
    Это просто хипстеры-рукожопы не умеют на си писать. А вот настоящие программисты™ таких ошибок никогда не делают! А если и делают, то это потому что так и задумывалось!
     
  • 2.3, Онаним (?), 21:02, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Перепишете на любимке - приходите, похвалитесь.
     
     
  • 3.6, freecoder (ok), 21:47, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Уже ламанули переписывать, ждите.
     
     
  • 4.10, Аноним (10), 22:33, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, на балабольский язык сейчас перепишут.
     
  • 3.14, лютый жабби__ (?), 08:04, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Перепишете на любимке - приходите, похвалитесь.

    ты как истинный эксперт поппеннетта считаешь, что нет аналогов редису, прям никто не осилил переписать? редису до hazelcast-а как китайцу до луны... и не поверишь написан на более безопасном языке )

     
     
  • 4.16, Онаним (?), 09:32, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, можно комбайн с легковухой сравнивать, но зачем?
     
     
  • 5.20, funny.falcon (?), 10:16, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Правда в том, что «комбайн» едет со скоростью «легковухи». Да, в гараж не поставишь, на стоянку в ТЦ тоже с трудом. А в остальном вполне замена.
     
     
  • 6.22, пох. (?), 10:30, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По полю разьве что.
    А по нормальной дороге никак не едет - не умещается на дороге.

     
  • 5.26, лютый жабби__ (?), 11:19, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Ну, можно комбайн с легковухой сравнивать, но зачем?

    ты не шаришь в этом вопросе... эмбеднутый в приложение хазель в десятки или сотни раз БЫСТРЕЕ, чем подключенный через сетевой стек редис. особенно если писать с подтверждением, а не как в /dev/null

     
     
  • 6.37, funny.falcon (?), 18:46, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле «особенно если писать с подтверждением»? А редис так умеет?
     
  • 6.40, Онаним (?), 20:39, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > эмбеднутый в приложение

    Ну я и говорю, комбайн с легковухой.

     
  • 6.42, Аноним (42), 12:10, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И чем мне ембеднутая в приложение библиотека позволит сделать сетевое key-value хранилище, доступное с каждой ноды - для чего и нужен Redis?
     
  • 2.4, Dzen Python (ok), 21:19, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага. Особенно тот, где для любой нестандартной оптимизации требуется накручивать ансейф и продираться не через простой синтаксис С, а через нагромождение хипстоконструкций. Дайте два...терабайта памяти, растобазе как раз хватит
     
     
  • 3.8, freecoder (ok), 21:55, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Си не умрет никогда, так и знай!
    На вас работы хватит, не переживай.
     
  • 2.5, Аноним (10), 21:24, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вам нужно книжки открыть и головой научиться пользоваться.

    А вот что не нужно, так это криворукие растоманы.

     
     
  • 3.7, freecoder (ok), 21:53, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вам не нужно книжки открывать и головой учиться думать.

    А вот что нужно, так это пряморукие сишники.

     
     
  • 4.9, Аноним (9), 22:02, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > нужно ... пряморукие сишники.

    Дык где ж ты их на всех напасёшься?

     

  • 1.11, Аноним (11), 00:00, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    редиской кто-то вообще пользуется? мне с окон только муська и лайт встречалась.

     
     
  • 2.12, Ilya Indigo (ok), 02:00, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Редиска очень эффективно кеширует в ОЗУ запросы от Ваших мускулей и склайтов и либой СУБД, чтобы они повторно очень быстро были доступны и не тратилось время на повторный запрос.
     
     
  • 3.17, Онаним (?), 09:36, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    memcached куда более прост, и кеширует не менее эффективно.
    Для кеширования я бы выбрал именно его, к тому же в отличие от редиски он умеет в распараллеливание.
    Редиска умеет сбрасывать снапшот данных на диск и хранить сложные структуры, которые можно менять по частям, поэтому годится в качестве простейшего заменителя БД там, где реальная RDBMS или DDBMS не нужны.
     
     
  • 4.21, пох. (?), 10:28, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пока остаешься в рамках локалхоста - да.

    А как только хостов два - так привет, приплыли. За почти бесплатную HA-кластерную структуру редису можно простить тормоза и траханье диска (и даже то что она из г-на и палок собрана тоже. В конце-концов у монги вон оверинжиниренная херь которую никто не умеет правильно кормить и чинить.)

     
  • 4.24, Catwoolfii (ok), 10:45, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >к тому же в отличие от редиски он умеет в распараллеливание

    В 6-й версии добавили многопоточность, вопрос только где ее (6-ю) взять для своего дистрибутива...

     
     
  • 5.41, Аноном (?), 11:59, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.freshports.org/databases/redis/
    не благодари
     
  • 3.18, Онаним (?), 09:38, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, да, ещё транзакции умеет, и подписку на изменения, но это опять же к нише простейшей хранилки данных для чатиков.
     
  • 2.39, Аноним (39), 19:39, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего кроме редиса для данной задачи не встречал.  
     
  • 2.45, OpenEcho (?), 14:54, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > редиской кто-то вообще пользуется?

    Хорошо пошутил !!!

     

  • 1.13, Аноним (13), 07:26, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В то время как прод на 3м редисе сидит и не чешется
     
     
  • 2.23, пох. (?), 10:32, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно у них не только версия редис безнадежно устарела, но и сами они старые пердуны и еще не позаменяли админов девляпсами.

    Если у тебя редис на проде торчит голым задом в интернет, как тут принято - тебе это обновление уже не поможет.

    А если не торчит - то и похрен на него.

     
     
  • 3.38, Аноним (39), 19:38, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так он по другому не работает пусть торчит.
     
  • 2.43, Аноним (42), 13:32, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В пятом появилась киллер-фича - Streams. Надежный Pub-Sub по модели Kafka, но легковесные, простейшие и без вот этого всего.
    До этого приходилось такое эмулировать их через rpoplpush и адский Lua-скриптинг с зачисткой мусора ручками. Ну или кафку ставить, да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру