Redis 同时发布了 5.0.11、6.0.11 和 6.2 版本。对于使用 32 位 Redis 的用户来说,此次更新解决了一个重要的安全问题,即 32 位系统上的整数溢出((CVE-2021-21309):Redis 4.0 或更新版本对批量输入的最大值使用了一个可配置的限制。默认情况下,它是 512MB,对所有平台来说都是一个安全值。如果大幅增加限制,从客户端接收到一个大的请求可能会触发整数溢出的情况,这将导致缓冲区溢出和堆损坏。
其它主要更新内容
- 5.0.11
- 修复分叉进程删除父进程 pid 文件的问题
- 修复 flock 群集配置可能导致 kill -9 后重启失败的问题
- 避免在 redis-sentinel 中读取越界
- 6.0.11
- 修复对线程 IO 和客户端暂停(故障转移)的处理可能导致数据丢失或崩溃的问题
- 修复从大型哈希表中选择随机元素的问题
- 修复客户端跟踪 tracking-redir-broken 消息中损坏的协议
- XINFO 能够访问副本上的过期密钥
- 修复与 -a或 --dbnum 一起使用时 redis-benchmark 中损坏的协议
- 避免测试 arm64 CoW 错误时的断言(在较早的内核上)
- CONFIG REWRITE 应该接受 umask 设置
- 修复 COMMAND 命令中 firstkey、lastkey、step 的某些命令
- 6.2
- 修复客户端跟踪tracking-redir-broken消息中损坏的协议
- 避免在 INFO 命令状态、错误状态、模块中使用不安全的字段名称字符
- XINFO 可以在 CLIENT PAUSE WRITE 期间访问过期的密钥
- 修复 REPLCONF ip 地址的允许长度
- 当切换到新的列表包时,XADD 会计算已删除的记录
详细内容请查看 Redis 仓库更新。
注意:本文归作者所有,未经作者允许,不得转载
