dot Redis 8 已发布——并且它是开源的

了解更多
白色 Redis Logo 返回
搜索

Redis 安全公告:堆溢出漏洞

LinkedIn-icon
分享
LinkedIn 图标分享到 LinkedIn
Redis

Redis

以下是关于 CVE-2022-24834 和 CVE-2023-36824 漏洞,以及受影响客户可用的更新,您需要采取的措施。

我们被告知 Redis 受到了两个安全漏洞的影响:CVE-2022-24834 和 CVE-2023-36824。CVE-2022-24834 使用 Redis 中特制的 Lua 脚本,可能触发 cJSON 和 cmsgpack 库中的堆溢出,导致堆损坏并可能远程代码执行。CVE-2023-36824 从命令和参数列表中提取键名,也可能触发堆溢出,导致读取堆内存、堆损坏并可能远程代码执行。 

当然,Redis 已采取措施防止所有人受到损害。

以下是当前的情况,以便我们可以向 Redis 社区提供关于 CVE-2022-24834CVE-2023-36824 的最新信息。这些漏洞的修复已在以下版本中提供:

  • Redis Enterprise Cloud
    • CVE-2022-24834:已修复
    • CVE-2023-36824:已修复(仅限 Redis 7.0 预览位置)
  • Redis Enterprise
    • CVE-2022-24834:6.2.12-82 及以上版本,6.2.18-1 及以上版本,6.4 所有小版本,7.2.0 及以上版本
    • CVE-2023-36824:不受影响
  • Redis 开源版本
    • CVE-2022-24834:6.0.20, 6.2.13, 7.0.12, 7.2 RC3
    • CVE-2023-36824:7.0.12, 7.2 RC3
  • Redis Stack
    • CVE-2022-24834:6.2.6-v8, 7.2 RC3
    • CVE-2023-36824:7.2 RC3

CVE-2023-36824 仅影响 7.X 版本。 

Redis Enterprise Cloud 客户无需采取任何行动。但是,我们鼓励所有 Redis EnterpriseRedis 开源版本Redis Stack 客户立即升级到受支持的已修复版本。 

我们感谢安全研究社区帮助我们确保 Redis 的安全! 

相关阅读