Redis 8 已发布——它是开源的
了解更多
分享
作为 Redis 社区和 Redis 持续努力维护 Redis 安全性和合规性的一部分,Redis 中发现了一个安全漏洞,并在以下版本中得到了修复。
[CVE-2025-21605] Redis 拒绝服务漏洞,由于未认证客户端滥用输出缓冲区导致无限增长。CVSS 评分:7.5 (高危)
默认情况下,Redis 配置不限制输出缓冲区。因此,输出缓冲区会随时间无限增长。结果是服务资源耗尽,内存不可用。
当 Redis 服务器上启用密码认证但未提供密码时,客户端仍然可以通过“NOAUTH”响应导致输出缓冲区增长,直到系统内存耗尽。
此漏洞的利用需要 Redis 端点被公开暴露。
您可以采取几个步骤来保护您的 Redis 免受恶意攻击者的访问。为了最大限度地降低被利用的风险,遵循以下最佳实践非常重要
有关如何安全配置、部署和使用 Redis 的更多详细信息,请访问 社区版 和 企业版软件 文档网站。
我们已经升级了 Redis Cloud 服务并应用了修复,因此您无需采取额外行动。
如果您是自管理 Redis,无论是 Software 版本还是 Community 版本,请将您的 Redis 升级到最新版本。
下面列出的 Redis OSS、CE、Stack 和 Software 版本包含此修复。完成升级后,您的环境中将修复此漏洞。
| 漏洞 | 受影响的版本 | 已修复的版本 |
| [CVE-2025-21605] Redis 拒绝服务漏洞,由于未认证客户端滥用输出缓冲区导致无限增长。 CVSS 评分:7.5 (高危) | 所有 Redis Software 发布版本 | 7.22.0-28 及以上 7.18.0-76 及以上 7.8.4-95 及以上 7.4.6-232 及以上 7.2.4-122 及以上 6.4.2-121 及以上 |
| 所有 Redis OSS/CE/Stack 发布版本 | OSS/CE 7.4.3 及以上 7.2.8 及以上 6.2.18 及以上 Stack 7.4.0-v4 及以上 7.2.0-v16 及以上 6.2.6-v20 及以上 |
致谢
我们感谢以下研究人员识别并通过我们公布的流程报告了这些漏洞: 该问题由 @polaris-alioth 报告
