URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 132534
[ Назад ]

Исходное сообщение
"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости"
Отправлено opennews , 10-Янв-24 17:37

В корректирующих выпусках СУБД Redis 7.0.15 и 7.2.4 устранена опасная уязвимость (CVE-2023-41056), которая потенциально может привести к удалённому выполнению кода из-за записи данных в область за пределами выделенного буфера. Проблема проявляется начиная с выпуска Redis 7.0.9 и вызвана некорректным вычислением параметров буфера в функции sdsResize при выполнении запроса изменения размера...
Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60415

Содержание

Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 17:55 , 10-Янв-24
Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,another_one, 17:56 , 10-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 18:10 , 10-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 18:31 , 10-Янв-24
  - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,лютый жабби...., 19:57 , 10-Янв-24
    - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 22:38 , 10-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,C00l_ni66a, 19:04 , 10-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 19:39 , 10-Янв-24
  - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 19:44 , 10-Янв-24
    - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,лютый жабби...., 20:00 , 10-Янв-24
      - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,User, 07:49 , 11-Янв-24
        
        Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,лютый жабби...., 21:39 , 11-Янв-24
        
        Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,User, 07:07 , 12-Янв-24
        
        Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,лютый жабби...., 15:41 , 12-Янв-24
        
        Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,User, 15:52 , 12-Янв-24
  - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 04:36 , 11-Янв-24
    - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,User, 07:48 , 11-Янв-24
    - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 09:39 , 11-Янв-24
  - Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,BeLord, 10:09 , 11-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,лютый жабби...., 19:55 , 10-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Lost Inside, 09:19 , 11-Янв-24
- Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,adolfus, 19:56 , 11-Янв-24
Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 04:33 , 11-Янв-24
Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост...,Аноним, 20:19 , 11-Янв-24

Сообщения в этом обсуждении

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 17:55

> it could forget to update the sds type in the sds header and then cause an overflow in sdsalloc
Дыряшка во всей своей красе!

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено another_one , 10-Янв-24 17:56

> из-за записи данных в область за пределами выделенного буфера
Защитники Си, вы где, ау!

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 18:10

Да вот они https://kitaigid.ru/wp-content/uploads/2022/07/530245_062907...

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 18:31

Предложи другую технологию.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено лютый жабби.... , 10-Янв-24 19:57

>Предложи другую технологию.
ты не поверишь, но ваш однопоточный редис тормозное гуанцо. у нормальных нешкольников hazelcast и подобное

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 22:38

> у нормальных нешкольников hazelcast
Ну да, блоатварь на жабке будет быстрее, инфа 100%.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено C00l_ni66a , 10-Янв-24 19:04

Они пишут код. В отличии от тебя.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 19:39

Ну вообще-то, чтобы не было уязвимостей на сишке, на крупный проект лет 30 времени уйдет на написания, если программист будет обдумывать последствия каждой строчки. Вот и выходит: сначала пишут - потом CVE, времени ни у кого нет бесплатного.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 10-Янв-24 19:44

И если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено лютый жабби.... , 10-Янв-24 20:00

>если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.
дык, у редиса и так быстродействие ниже плинтуса, можно уже не напрягаться ) оно висит отдельной прогой и по сети (ну может юникс сокету, я ваше г не юзаю) отвечает. хочешь скорости, держи кеш в самом приложении

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено User , 11-Янв-24 07:49

... и трахайся с синхронизацией кэшей между репликами. Да.
Сiмъ победимъ!

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено лютый жабби.... , 11-Янв-24 21:39

> и трахайся с синхронизацией кэшей между репликами
1. из коробки
2. далеко не всегда оно надо

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено User , 12-Янв-24 07:07

>> и трахайся с синхронизацией кэшей между репликами
> 1. из коробки
> 2. далеко не всегда оно надо
Ну да - если одной реплики хватает, то "изкоробочная" синхронизация кэшей через астрал (По сети\через сокет жи медленно!) кагбэ и нинужна, тут не поспоришь.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено лютый жабби.... , 12-Янв-24 15:41

>синхронизация кэшей через астрал
зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме?

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено User , 12-Янв-24 15:52

>>синхронизация кэшей через астрал
> зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме?
Решительно незачем, Вы правы! Да и сам кэш не очень-то нужен, правда? Ну придет одинаковый запрос на разные реплики - сходят они в бд за данными, делов-то? Зато без этого вашего медленного-медленного-по-сети-редиса! И если разным сервисам может понадобиться один и тот же набор данных - кэш тоже не нужен, пусть сам сервис у себя все дублирует - скорости ради. И бороться с инвалидацией кэшей 100500 раз - это ж так хорошо, удобно и замечательно!

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 11-Янв-24 04:36

> лет 30 времени уйдет на написания
Где-то громко заржал очередной Copilot подобный плагин. Вылезай уже из своей криокамеры. В блокноте код давно никто не пишет. Даже без AI полно средств для безопасного написания кода на любом языке.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено User , 11-Янв-24 07:48

Танк секретный. Ученые могут не знать!

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 11-Янв-24 09:39

Ну вот ты сказал - всё супер, а новые CVE на сишке как были везде 20 лет назад, так и сейчас есть.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено BeLord , 11-Янв-24 10:09

Нормальный программист думает всегда над тем, что делает. Смузишколота хреначит черт знает что, потом удивляется, что ресурсы жрет и падает их поделие. Едем дальше, считать деньги для любого нормального PM естественно, как следствие, во многих случаях выгодней написать нормально сразу, а не рефакторить и тестировать до второго пришествия и только эффективные манагеры пургу гонят, а потом конторы разоряются.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено лютый жабби.... , 10-Янв-24 19:55

>Защитники Си, вы где, ау!
dnf module list redis
redis 5 [d]
redis 6
свидетель доцкер:latest ?

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Lost Inside , 11-Янв-24 09:19

И действительно.
Конпелятор же создает кодъ.
А программёр - прокладка между стулом и клавой.
Не удивлюсь, если растофилы именно так и считают.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено adolfus , 11-Янв-24 19:56

BerkeleyDB в Oracle пилят.

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 11-Янв-24 04:33

> Redis
Оно же уже под не_свободной лицензией?

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимост..."
Отправлено Аноним , 11-Янв-24 20:19

Без Сальвадора уже не то