Redis 5.0.11、6.0.11、6.2 发布,修复 32 位系统上的整数溢出

bigdata 2021-02-24 09:40:10 ⋅ 131 阅读

Redis 同时发布了 5.0.11、6.0.11 和 6.2 版本。对于使用 32 位 Redis 的用户来说,此次更新解决了一个重要的安全问题,即 32 位系统上的整数溢出((CVE-2021-21309):Redis 4.0 或更新版本对批量输入的最大值使用了一个可配置的限制。默认情况下,它是 512MB,对所有平台来说都是一个安全值。如果大幅增加限制,从客户端接收到一个大的请求可能会触发整数溢出的情况,这将导致缓冲区溢出和堆损坏。

其它主要更新内容

  • 5.0.11
    • 修复分叉进程删除父进程 pid 文件的问题
    • 修复 flock 群集配置可能导致 kill -9 后重启失败的问题
    • 避免在 redis-sentinel 中读取越界
  • 6.0.11
    • 修复对线程 IO 和客户端暂停(故障转移)的处理可能导致数据丢失或崩溃的问题
    • 修复从大型哈希表中选择随机元素的问题
    • 修复客户端跟踪 tracking-redir-broken 消息中损坏的协议
    • XINFO 能够访问副本上的过期密钥
    • 修复与 -a或 --dbnum 一起使用时 redis-benchmark 中损坏的协议
    • 避免测试 arm64 CoW 错误时的断言(在较早的内核上)
    • CONFIG REWRITE 应该接受 umask 设置
    • 修复 COMMAND 命令中 firstkey、lastkey、step 的某些命令
  • 6.2
    • 修复客户端跟踪tracking-redir-broken消息中损坏的协议
    • 避免在 INFO 命令状态、错误状态、模块中使用不安全的字段名称字符
    • XINFO 可以在 CLIENT PAUSE WRITE 期间访问过期的密钥
    • 修复 REPLCONF ip 地址的允许长度
    • 当切换到新的列表包时,XADD 会计算已删除的记录

详细内容请查看 Redis 仓库更新


全部评论: 0

    我有话说:

    Redis 6.0.10 发布维护版本

    Redis 6.0.10 现已发布,这是一个维护版本,升级迫切性等级为中等:修复了一些具有中等影响错误。具体更新内容如下: Command behavior changes

    Spring Framework 5.3.6 & 5.2.14 发布

    Spring Framework 5.3.65.2.14 现已发布,分别包含 19 项与 11修复和改进。 主要更新内容 5.3.6

    Redisson 3.13.6 发布,官方推荐 Redis 客户端

    Redisson 3.13.6 已发布,这是一个 Java 编写 Redis 客户端,具备驻内存数据网格(In-Memory Data Grid)功能,并获得了 Redis 官方推荐

    VirtualBox 6.1.20 发布,支持 Linux 5.11 & 5.12

    近日,VirtualBox 发布6.1.20 版本,也是该软件 6.1 版本系列第十次更新。该版本增加了对 Linux Kernel 5.115.12 支持。而且,对于 Linux

    Spring Boot 2.4.0-RC1, 2.1.18, 2.2.112.3.5 发布

    Spring Boot 多个分支发布了新版本,分别是 2.4.0-RC1, 2.1.18, 2.2.112.3.5。 Spring Boot 2.4.0-RC1 此版本是 

    「尝鲜」SpringBoot 快速整合Swagger 3.0

    第一步:Maven引入Swagger3.0 starter依赖 Maven项目中引入springfox-boot-starter依赖: <dependency> <

    Wine 6.0-RC5 发布修复 21 个 bug

    Wine 6.0-RC5 已经发布。Wine(Wine Is Not an Emulator)是一个能够在多种兼容 POSIX 接口操作系统(诸如 Linux、macOS 与 BSD 等

    Eclipse Jetty 9.4.3810.0.1 和 11.0.1 发布

    Eclipse Jetty 9.4.3810.0.1 和 11.0.1 已经发布。这三个版本都包含了大量 bug 修复和改进,建议所有用户尽快升级。重要是,这些版本涉及 CVE-2020

    Node.js 15.6.0 发布

    Node.js 15.6.0 发布,Node.js 是一个基于 Chrome V8 引擎 JavaScript 运行时。 此版本主要更新内容包括: child_process: 添加

    Gradle 6.7.1 发布修复 6.7 中严重错误

    这是 Gradle 6.7 修补版本,修复了 Gradle 6.7 中几个严重错误,更新内容包括: 修复反向移植工具链错误问题 修复安装 Openjdk-11 后,Java 工具链在

    Apache Tomcat 8.5.59、9.0.3910.0.0-M9发布

    Apache Tomcat 8.5.59, 9.0.3910.0.0-M9 已发布。 8.5.x 已取代 8.0.x,并增加了从 Tomcat 9.0.x 中吸收新功能。与 8.5.58

    Redis 6.2.2 发布

    Redis 6.2.2 现已发布,该版本升级迫切性程度为高。对于那些使用 ACL 和 pub/sub,CONFIG REWRITE,或遭受性能下降影响用户来说,详见下文: 修复

    Oracle Solaris 11.4 SRU30 发布,Unix 操作系统

    Oracle 上周发布了 Solaris 11.4 SRU30,这是一个稳定版更新,对许多软件包和组件进行了升级,包括 Python 3.9, Perl 5.32, GNU Debugger 10

    Angular 11.0.0-rc.2 发布,Web 前端框架

    Angular 11.0.0-rc.2 现已发布,具体更新内容如下: Bug 修复 common:从r-> Y更改 week-numbering year 格式 compiler

    Debian 10.6 发布

    Debian 10.6发布,这是 Debian 10 "Buster" 第六个稳定版更新,修复了部分安全问题和 bug。 除了安全方面更新,还有针对 OpenJDK, Firefox ESR

    Redis 6.2.1 发布

    Redis 6.2.1 现已发布,该版本升级迫切性程度为低:修复了编译问题。具体更新内容如下: Bug 修复 修复带有已删除记录 stream sanitize-dump

    Angular 11.1.0-next.2 发布,Web 前端框架

    Angular 11.1.0-next.2 现已发布,具体更新内容如下: Bug 修复 animations:在浏览器动画生成器中实现 getPosition compiler-cli

    前端框架 Angular 11.0.0 正式发布,不再支持 IE 9 、10

    前端框架 Angular 11.0.0 正式发布。 Angular 11.0.0 将 TypeScript 升级到 4.0, 对 TypeScript 3.9 不再支持。 放弃了对 IE 9 、10

    RediSearch 2.0.6 发布,高性能全文搜索引擎

    RediSearch 2.0.6 现已发布,这是 2.0维护版本,更新紧急程度较低。具体更新内容如下: Details: #1774 MINPREFIX 和