by shigemk2

当面は技術的なことしか書かない

redis 7.0.12

  • セキュリティ修正:

    • (CVE-2022-24834) 特別に作られたLuaスクリプトがRedisで実行されると、cjsonおよびcmsgpackライブラリでヒープオーバーフローを引き起こし、ヒープの破損やリモートコード実行が可能になる可能性があります。この問題は、LuaスクリプトのサポートがあるRedisの全バージョン(2.6から)で存在し、認証済みおよび承認済みのユーザーのみに影響します。
    • (CVE-2023-36824) コマンドと引数リストからキー名を抽出すると、一部のケースでヒープオーバーフローを引き起こし、ランダムなヒープメモリの読み取り、ヒープの破損、およびリモートコード実行が可能になる可能性があります。具体的には、COMMAND GETKEYS*およびACLルール内のキー名の検証を使用する場合です。
  • バグ修正:

    • フォーク子が存在する間にリハッシュを再度有効にする (#12276)
    • HRANDFIELD、SRANDMEMBER、ZRANDMEMBERでcountを使用した場合の可能なハングを修正 (#12276)
    • RANDOMKEY、HRANDFIELD、SRANDMEMBER、ZRANDMEMBER、SPOP、および追い出しにおける公平性問題を改善 (#12276)
    • ブロックされたモジュールコマンドが解除された後にWAITが効果的になるよう修正 (#12220)
    • 稀なケースでマスター再起動後の不必要なフル同期を回避 (#12088)

github.com