URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137289
[ Назад ]
Исходное сообщение
"Уязвимости в СУБД Redis и Valkey"
Отправлено opennews , 07-Июл-25 11:49 
Опубликованы корректирующие выпуски СУБД Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) и Valkey (8.0.4, 8.1.3), в которых устранены две уязвимости. Наиболее опасная уязвимость (CVE-2025-32023) потенциально может привести к удалённому выполнению кода на сервере из-за записи данных в область за пределами выделенного буфера. Для эксплуатации уязвимости атакующий должен иметь возможность отправки команд в СУБД...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63537

Содержание
Сообщения в этом обсуждении
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 11:49 
https://www.opennet.dev/opennews/art.shtml?num=60808 надо - там такого нету.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 17:56 
> https://www.opennet.dev/opennews/art.shtml?num=60808 надо - там такого нету.

Там все намного хуже:

> Проект написан на языке C#

Это сразу черная метка.

"Уязвимости в СУБД Redis и Valkey"
Отправлено Эксконтрибутор FreeBSD , 07-Июл-25 21:17 

C 73.5%
Tcl 24.8%
Python 0.5%
CMake 0.3%
Ruby 0.3%
Makefile 0.3%
Other 0.3%

Что ты несешь, блин?

"Уязвимости в СУБД Redis и Valkey"
Отправлено OpenEcho , 07-Июл-25 21:26 
А ничего что сам Мелкософт говорит что Гарнет не замена Редиски?
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 12:05 
> к удалённому выполнению кода на сервере из-за записи
> данных в область за пределами выделенного буфера.

Проблема вызвана ошибкой в src/hyperloglog.c

Ха-ха, классик. Ничего нового.

"Уязвимости в СУБД Redis и Valkey"
Отправлено User , 07-Июл-25 12:17 
Не пристало самураю жаловаться на остроту его меча!
Таков путь.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 12:24 
Над чем смеетесь? Над собой смеетесь!
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 14:21 
Смеёшься что не смог переписать на Раст?
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 14:52 
Микрософт уже переписали на C# - тоже безопасный язык.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 15:04 
> Микрософт… и безопасный…

шутите?

"Уязвимости в СУБД Redis и Valkey"
Отправлено keydon , 07-Июл-25 15:46 
А до этого еще безопасная джава была (привет андройд). И безопасный js (привет веб 2000ых). Теперь вот безопасный раст (привет карго).
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 12:36 
> Проблема вызвана ошибкой в реализации ... для приблизительного подсчёта

Ха-ха-ха! Это пять!

"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 15:08 
Причина тряски?
"Уязвимости в СУБД Redis и Valkey"
Отправлено YetAnotherOnanym , 07-Июл-25 20:21 
Слово знакомое увидел.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 21:20 
Твой ник увидел. И не может содержаться от смеха.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 12:41 
> алгоритм HyperLogLog для приблизительного подсчёта уникальных элементов
> приблизительного

кидали бы про rand, чего уж там мелочится
можно на всякий случай проверить на кубике d20, а лучше на d100!

"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 16:07 
Экспертиза опеннет на марше. Что такое HLL и для чего он нужен не знают, но мнение имеют.

Осталось два месяца.

"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 13:28 
Интересно, они в курсе от такой вещи как тесты?
Ну типа написать тест, который будет скармливать разные виды строк.
Или даже фаззинг натравить.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 14:20 
Ты хочешь оплатить работу человека, который это все сделает? То что ты говоришь хорошо только в идеальном мире.
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 16:34 
Проекты опенсорсные, так что можно ничего не оплачивать, а просто стать тем человеком, который всё это сделает и отправит PR.
"Уязвимости в СУБД Redis и Valkey"
Отправлено пох. , 07-Июл-25 17:22 
нельзя, для этого надо не щупать одногруппниц на лекции второго курса про "тесты", а кодить уметь. (А когда, если вдруг, кодить научится - узнает печальную новость что тестами эту проблему не решить.)

"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 17:33 
Да, потому что она решается только выкидываением устаревшего рантайма ("C" не так сильно устарел, как его рантайм с опасными функциями).
"Уязвимости в СУБД Redis и Valkey"
Отправлено _ , 07-Июл-25 19:04 
Но _ТЫ_ не решишь :) - потому как рукожоп зело...
Да и однокласниц ты не щупал, не давали они тебе :-Р
"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 17:49 
> для этого надо не щупать одногруппниц на лекции второго курса про "тесты", а кодить уметь

Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает. А те, 3,5 исключения, что туда по ошибке заблудились — лучшая реклама целибата, ты их сам щупать не захочешь. Так что дело за малым: сесть и накодить тестов, фаззинга, приправить статическими анализаторами и попытаться убедить «матёрых»™ «программистов»™ вмержить этот балаган в мастер^Wмэйн.

"Уязвимости в СУБД Redis и Valkey"
Отправлено пох. , 07-Июл-25 18:56 
> Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает.

тьфуй, мерзость какая. Сплошная запрещенная в рф экстримисская пропаганда у вас получается!

Не, если фаззинг принесет им в клювике готовый баг - убеждать ни в чем будет не надо, просто показывай как есть, исправят, как в любом относительно живом проекте, а эти - живые. (совершенно необязательно чтобы баг был уязвимостью)

Но обычно лапки мешают что-то обнаружить этим мастерам, знающим кунфу, джиуджитсу и еще много страшных слов.

"Уязвимости в СУБД Redis и Valkey"
Отправлено _ , 07-Июл-25 19:09 
> Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает.

Чё ты звездишь то?! Оне больше нехотят в итердевочки, оне тоже хотят войтивойти(С) - потому как там деньги есть^W были :)
Так что в ИТ факультетах студенток вполневдувабельного типа - полно, просто на 3адpoтoв типа тебя им не интересно :-Р
:-)

"Уязвимости в СУБД Redis и Valkey"
Отправлено нах. , 07-Июл-25 21:20 
>> Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает.
> Чё ты звездишь то?! Оне больше нехотят в итердевочки, оне тоже хотят
> войтивойти(С) - потому как там деньги есть^W были :)

мне кажется, это на другом потоке.
Вон, запрещенными сетями принесло:
Вакансии в компании ***

- Influencer Marketing Manager (3+ years)
- Biz-Dev Financial Analyst (2-5 years)
- Data Analyst (2+ years)
- Senior PPC Manager (4+ years)

но эти тебе никакие тесты не напишут, а напишет за них ии - не будут знать куда тот тест совать.


"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 18:35 
Акстись, аноним. Тесты делаются через ИИ за полчаса. За $20 в месяц.
"Уязвимости в СУБД Redis и Valkey"
Отправлено пох. , 07-Июл-25 18:57 
> Акстись, аноним. Тесты делаются через ИИ за полчаса. За $20 в месяц.

и чего ж это ты еще не сделал?


"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 21:54 
Ты меня перепутал с разработчиками Редиса. В своих проектах сделал.
"Уязвимости в СУБД Redis и Valkey"
Отправлено пох. , 07-Июл-25 23:21 
да кому твои хеловроты интересны?
То есть у тебя ноль успехов в проектах размером с редис, но ты точно знаешь что твои наляпанные с помощью ИИ тесты найдут любую ошибку в коде которого ты не понимаешь.
"Верить в себя, не видеть препятствий..."

"Уязвимости в СУБД Redis и Valkey"
Отправлено Аноним , 07-Июл-25 21:19 
Акстись, аноним ты в своем городе никогда не заработаешь такие деньжищи.
"Уязвимости в СУБД Redis и Valkey"
Отправлено нах. , 07-Июл-25 21:21 
> Акстись, аноним ты в своем городе никогда не заработаешь такие деньжищи.

да я готов одолжить, только ведь хрен он и с "деньжищами" чего сможет.