The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости"  +/
Сообщение от opennews (??), 10-Янв-24, 17:37 
В корректирующих выпусках СУБД Redis 7.0.15 и 7.2.4 устранена опасная уязвимость (CVE-2023-41056), которая потенциально может привести к удалённому выполнению кода из-за записи данных в область за пределами выделенного буфера. Проблема проявляется начиная с выпуска  Redis 7.0.9 и вызвана некорректным вычислением параметров буфера в функции sdsResize при выполнении запроса изменения размера...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60415

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  –3 +/
Сообщение от Аноним (2), 10-Янв-24, 17:55 
> it could forget to update the sds type in the sds header and then cause an overflow in sdsalloc

Дыряшка во всей своей красе!

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  –4 +/
Сообщение от another_one (ok), 10-Янв-24, 17:56 
> из-за записи данных в область за пределами выделенного буфера

Защитники Си, вы где, ау!

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +4 +/
Сообщение от Аноним (4), 10-Янв-24, 18:10 
Да вот они https://kitaigid.ru/wp-content/uploads/2022/07/530245_062907...
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (5), 10-Янв-24, 18:31 
Предложи другую технологию.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  –5 +/
Сообщение от лютый жабби.... (?), 10-Янв-24, 19:57 
>Предложи другую технологию.

ты не поверишь, но ваш однопоточный редис тормозное гуанцо. у нормальных нешкольников hazelcast и подобное

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +4 +/
Сообщение от Аноним (23), 10-Янв-24, 22:38 
> у нормальных нешкольников hazelcast

Ну да, блоатварь на жабке будет быстрее, инфа 100%.

Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +1 +/
Сообщение от C00l_ni66a (ok), 10-Янв-24, 19:04 
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (13), 10-Янв-24, 19:39 
Ну вообще-то, чтобы не было уязвимостей на сишке, на крупный проект лет 30 времени уйдет на написания, если программист будет обдумывать последствия каждой строчки. Вот и выходит: сначала пишут - потом CVE, времени ни у кого нет бесплатного.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

14. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (13), 10-Янв-24, 19:44 
И если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  –4 +/
Сообщение от лютый жабби.... (?), 10-Янв-24, 20:00 
>если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.

дык, у редиса и так быстродействие ниже плинтуса, можно уже не напрягаться ) оно висит отдельной прогой и по сети (ну может юникс сокету, я ваше г не юзаю) отвечает. хочешь скорости, держи кеш в самом приложении

Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от User (??), 11-Янв-24, 07:49 
... и трахайся с синхронизацией кэшей между репликами. Да.
Сiмъ победимъ!
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от лютый жабби.... (?), 11-Янв-24, 21:39 
> и трахайся с синхронизацией кэшей между репликами

1. из коробки
2. далеко не всегда оно надо

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от User (??), 12-Янв-24, 07:07 
>> и трахайся с синхронизацией кэшей между репликами
> 1. из коробки
> 2. далеко не всегда оно надо

Ну да - если одной реплики хватает, то "изкоробочная" синхронизация кэшей через астрал (По сети\через сокет жи медленно!) кагбэ и нинужна, тут не поспоришь.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от лютый жабби.... (?), 12-Янв-24, 15:41 
>синхронизация кэшей через астрал

зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме?

Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от User (??), 12-Янв-24, 15:52 
>>синхронизация кэшей через астрал
> зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме?

Решительно незачем, Вы правы! Да и сам кэш не очень-то нужен, правда? Ну придет одинаковый запрос на разные реплики - сходят они в бд за данными, делов-то? Зато без этого вашего медленного-медленного-по-сети-редиса! И если разным сервисам может понадобиться один и тот же набор данных - кэш тоже не нужен, пусть сам сервис у себя все дублирует - скорости ради. И бороться с инвалидацией кэшей 100500 раз - это ж так хорошо, удобно и замечательно!  

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (25), 11-Янв-24, 04:36 
> лет 30 времени уйдет на написания

Где-то громко заржал очередной Copilot подобный плагин. Вылезай уже из своей криокамеры. В блокноте код давно никто не пишет. Даже без AI полно средств для безопасного написания кода на любом языке.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

26. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от User (??), 11-Янв-24, 07:48 
Танк секретный. Ученые могут не знать!
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (13), 11-Янв-24, 09:39 
Ну вот ты сказал - всё супер, а новые CVE на сишке как были везде 20 лет назад, так и сейчас есть.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

30. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от BeLord (ok), 11-Янв-24, 10:09 
Нормальный программист думает всегда над тем, что делает. Смузишколота хреначит черт знает что, потом удивляется, что ресурсы жрет и падает их поделие. Едем дальше, считать деньги для любого нормального PM естественно, как следствие, во многих случаях выгодней написать нормально сразу, а не рефакторить и тестировать до второго пришествия и только эффективные манагеры пургу гонят, а потом конторы разоряются.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

15. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от лютый жабби.... (?), 10-Янв-24, 19:55 
>Защитники Си, вы где, ау!

dnf module list redis
redis                              5 [d]
redis                              6

свидетель доцкер:latest ?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Lost Inside (ok), 11-Янв-24, 09:19 
И действительно.
Конпелятор же создает кодъ.
А программёр - прокладка между стулом и клавой.
Не удивлюсь, если растофилы именно так и считают.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от adolfus (ok), 11-Янв-24, 19:56 
BerkeleyDB в Oracle пилят.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (25), 11-Янв-24, 04:33 
> Redis

Оно же уже под не_свободной лицензией?

Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."  +/
Сообщение от Аноним (32), 11-Янв-24, 20:19 
Без Сальвадора уже не то
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру