| guía | Redis 7.0.12 lanzado con correcciones de seguridad y correcciones de errores. |
Actualice la seguridad de urgencia: vea las correcciones de seguridad a continuación.
arreglos de seguridad
- (CVE-2022-24834) La ejecución de una secuencia de comandos Lua especialmente diseñada en Redis podría desencadenar un desbordamiento de almacenamiento dinámico en las bibliotecas cjson y cmsgpack.
- Desbordamiento de montón, lo que provoca daños en el montón y una posible ejecución remota de código.
- Provoca daños en el montón y puede conducir a la ejecución remota de código. El problema existe en todas las versiones de Redis. Solo los usuarios autenticados y autorizados se ven afectados.
- (CVE-2023-36824) Extraer nombres clave de listas de comandos y argumentos
- (CVE-2023-36824) La extracción de nombres clave de las listas de comandos y parámetros podría desencadenar un desbordamiento de montón en determinadas circunstancias, lo que daría lugar a lecturas aleatorias de memoria de montón, corrupción de montón y posible ejecución remota de código. En particular, utilice COMMAND GETKEYS* y validación de nombre de clave en las reglas de ACL.
corrección de errores
- Vuelva a habilitar el relavado de degradación al bifurcar procesos secundarios (# 12276)
- Se corrigió un posible bloqueo en HRANDFIELD, SRANDMEMBER, ZRANDMEMBER cuando se usa con
- Mejorar los problemas de equidad en RANDOMKEY, HRANDFIELD, SRANDMEMBER, ZRANDMEMBER, SPOP y desalojo (#12276)
- Se corrigió el efecto de WAIT después de desbloquear los comandos del módulo bloqueado (# 12220)
- Evite la sincronización completa innecesaria después del reinicio maestro en casos excepcionales (# 12088)