The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости

10.01.2024 17:31

В корректирующих выпусках СУБД Redis 7.0.15 и 7.2.4 устранена опасная уязвимость (CVE-2023-41056), которая потенциально может привести к удалённому выполнению кода из-за записи данных в область за пределами выделенного буфера. Проблема проявляется начиная с выпуска Redis 7.0.9 и вызвана некорректным вычислением параметров буфера в функции sdsResize при выполнении запроса изменения размера.

  1. Главная ссылка к новости (https://github.com/redis/redis...)
  2. OpenNews: Уязвимость в СУБД Redis, потенциально позволяющая выполнить свой код
  3. OpenNews: Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей
  4. OpenNews: Критическая уязвимость в СУБД Redis
  5. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  6. OpenNews: Выпуск СУБД Redis 7.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60415-redis
Ключевые слова: redis
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 17:55, 10/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > it could forget to update the sds type in the sds header and then cause an overflow in sdsalloc

    Дыряшка во всей своей красе!

     
  • 1.3, another_one (ok), 17:56, 10/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > из-за записи данных в область за пределами выделенного буфера

    Защитники Си, вы где, ау!

     
     
  • 2.4, Аноним (4), 18:10, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да вот они https://kitaigid.ru/wp-content/uploads/2022/07/530245_062907_updates.webp
     
  • 2.5, Аноним (5), 18:31, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предложи другую технологию.
     
     
  • 3.16, лютый жабби.... (?), 19:57, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Предложи другую технологию.

    ты не поверишь, но ваш однопоточный редис тормозное гуанцо. у нормальных нешкольников hazelcast и подобное

     
     
  • 4.23, Аноним (23), 22:38, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > у нормальных нешкольников hazelcast

    Ну да, блоатварь на жабке будет быстрее, инфа 100%.

     
  • 2.7, C00l_ni66a (ok), 19:04, 10/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.13, Аноним (13), 19:39, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще-то, чтобы не было уязвимостей на сишке, на крупный проект лет 30 времени уйдет на написания, если программист будет обдумывать последствия каждой строчки. Вот и выходит: сначала пишут - потом CVE, времени ни у кого нет бесплатного.
     
     
  • 3.14, Аноним (13), 19:44, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.
     
     
  • 4.17, лютый жабби.... (?), 20:00, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.

    дык, у редиса и так быстродействие ниже плинтуса, можно уже не напрягаться ) оно висит отдельной прогой и по сети (ну может юникс сокету, я ваше г не юзаю) отвечает. хочешь скорости, держи кеш в самом приложении

     
     
  • 5.27, User (??), 07:49, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ... и трахайся с синхронизацией кэшей между репликами. Да.
    Сiмъ победимъ!
     
     
  • 6.33, лютый жабби.... (?), 21:39, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > и трахайся с синхронизацией кэшей между репликами

    1. из коробки
    2. далеко не всегда оно надо

     
     
  • 7.34, User (??), 07:07, 12/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> и трахайся с синхронизацией кэшей между репликами
    > 1. из коробки
    > 2. далеко не всегда оно надо

    Ну да - если одной реплики хватает, то "изкоробочная" синхронизация кэшей через астрал (По сети\через сокет жи медленно!) кагбэ и нинужна, тут не поспоришь.

     
     
  • 8.35, лютый жабби.... (?), 15:41, 12/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    зачем кеши синхронизировать, дауненок ещё и в блокирующем режиме ... текст свёрнут, показать
     
     
  • 9.36, User (??), 15:52, 12/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Решительно незачем, Вы правы Да и сам кэш не очень-то нужен, правда Ну придет ... текст свёрнут, показать
     
  • 3.25, Аноним (25), 04:36, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > лет 30 времени уйдет на написания

    Где-то громко заржал очередной Copilot подобный плагин. Вылезай уже из своей криокамеры. В блокноте код давно никто не пишет. Даже без AI полно средств для безопасного написания кода на любом языке.

     
     
  • 4.26, User (??), 07:48, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Танк секретный. Ученые могут не знать!
     
  • 4.29, Аноним (13), 09:39, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот ты сказал - всё супер, а новые CVE на сишке как были везде 20 лет назад, так и сейчас есть.
     
  • 3.30, BeLord (ok), 10:09, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный программист думает всегда над тем, что делает. Смузишколота хреначит черт знает что, потом удивляется, что ресурсы жрет и падает их поделие. Едем дальше, считать деньги для любого нормального PM естественно, как следствие, во многих случаях выгодней написать нормально сразу, а не рефакторить и тестировать до второго пришествия и только эффективные манагеры пургу гонят, а потом конторы разоряются.
     
  • 2.15, лютый жабби.... (?), 19:55, 10/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Защитники Си, вы где, ау!

    dnf module list redis
    redis                              5 [d]
    redis                              6

    свидетель доцкер:latest ?

     
  • 2.28, Lost Inside (ok), 09:19, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И действительно.
    Конпелятор же создает кодъ.
    А программёр - прокладка между стулом и клавой.
    Не удивлюсь, если растофилы именно так и считают.
     
  • 2.31, adolfus (ok), 19:56, 11/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    BerkeleyDB в Oracle пилят.
     

  • 1.24, Аноним (25), 04:33, 11/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Redis

    Оно же уже под не_свободной лицензией?

     
  • 1.32, Аноним (32), 20:19, 11/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без Сальвадора уже не то
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру