Redis 7.0.12 现已发布,此版本包含了一些安全问题修复。具体更新内容如下:
安全修复:
- (CVE-2022-24834) 在 Redis 中执行的特制 Lua 脚本可能会触发 cjson 和 cmsgpack 库中的堆溢出,并导致堆损坏和潜在的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在该问题,并且仅影响经过认证和授权的用户。
- (CVE-2023-36824) 在某些情况下,从命令和参数列表中提取键名称可能会触发堆溢出,并导致读取随机堆内存、堆损坏和潜在的远程代码执行。特别是:使用 COMMAND GETKEYS* 并验证 ACL 规则中的键名称。
Bug 修复
- 当存在分叉子项时重新启用 downscale rehashing ( #12276 )
- 修复与
<count>
一起使用时 HRANDFIELD、SRANDMEMBER、ZRANDMEMBER 中可能出现的挂起问题 ( #12276 ) - 改善 RANDOMKEY、HRANDFIELD、SRANDMEMBER、ZRANDMEMBER、SPOP 和 eviction 中的公平性问题 ( #12276 )
- 修复 WAIT 在被阻止的模块命令被解锁后生效的问题(#12220)
- 在极少数情况下,避免 master 重新启动后不必要的完全同步(#12088)
更新说明:https://github.com/redis/redis/releases/tag/7.0.12
还没有评论,来说两句吧...