Redis Enterprise Software 发行说明 6.4.2-115(2024 年 10 月)
RediSearch v2.6.23 的。RedisBloom v2.4.12 版本。RedisTimeSeries v1.8.15 的。
| Redis 企业软件 |
|---|
这是 Redis Enterprise Software 版本 6.4.2 的维护版本。
突出
此版本提供:
-
RediSearch v2.6.23 版本
-
RedisBloom 版本 v2.4.12
-
RedisTimeSeries 版本 v1.8.15
此版本中的新增功能
增强
Redis 模块
Redis 企业软件版本 6.4.2-115 包括以下 Redis 堆栈模块:
版本变更
支持的平台
下表提供了截至此 Redis Enterprise Software 版本支持的平台的快照。有关作系统兼容性的更多详细信息,请参阅支持的平台参考。
✅ 支持 – 此版本的 Redis Enterprise 软件和 Redis Stack 模块支持该平台。
⚠️弃用警告 – 此版本的 Redis Enterprise Software 仍支持该平台,但在未来版本中将取消支持。
| Redis Enterprise 主要版本 |
7.4 | 7.2 | 6.4 | 6.2 |
|---|---|---|---|---|
| 发布日期 | 2024 年 2 月 | 2023 年 8 月 | 2023 年 2 月 | 2021 年 8 月 |
| 生命周期结束日期 | 在下一个主要版本之后 确定 |
2026 年 2 月 | 2025 年 8 月 | 2025 年 2 月 |
| 平台 | ||||
| RHEL 9 和 兼容的发行版1 |
✅ | – | – | – |
| RHEL 8 和 兼容的发行版1 |
✅ | ✅ | ✅ | ✅ |
| RHEL 7 和 兼容的发行版1 |
– | ⚠️ | ✅ | ✅ |
| Ubuntu 20.04 版本2 | ✅ | ✅ | ✅ | – |
| Ubuntu 18.04 版本2 | ⚠️ | ⚠️ | ✅ | ✅ |
| Ubuntu 16.04 版本2 | – | ⚠️ | ✅ | ✅ |
| Amazon Linux 2 | ✅ | ✅ | ✅ | – |
| 亚马逊 Linux 1 | – | ✅ | ✅ | ✅ |
| Kubernetes (简体中文)3 | ✅ | ✅ | ✅ | ✅ |
| 码头工人4 | ✅ | ✅ | ✅ | ✅ |
-
如果 RHEL 兼容发行版 CentOS、CentOS Stream、Alma 和 Rocky 具有完全的 RHEL 兼容性,则支持它们。支持运行 Red Hat 兼容内核 (RHCK) 的 Oracle Linux,但不支持 Unbreakable Enterprise Kernel (UEK)。
-
有关每个版本和 Kubernetes 发行版的支持的详细信息,请参阅 Redis Enterprise for Kubernetes 文档。
-
Redis Enterprise Software 的 Docker 映像仅经过认证,可用于开发和测试。
下载
下表显示了可用软件包的 MD5 校验和:
| 包 | MD5 校验和(6.4.2-115 10 月版) |
|---|---|
| Ubuntu 16 版本 | 5fb2186abb6c87efebd987ebf827b949 |
| Ubuntu 18 的 | e8a938c7125fbc7d7f85f0e19d4afafb |
| Red Hat Enterprise Linux (RHEL) 7 | dc646920043bd888299726027d9e9216 |
| Red Hat Enterprise Linux (RHEL) 8 | 54574ca69f2966f7361f281f1ea3b312 |
| Amazon Linux 2 | 8315ba719f1549e8bf423a9db004d49c |
安全
开源 Redis 安全修复兼容性
作为 Redis 安全承诺的一部分,Redis Enterprise Software 实施了开源 Redis 提供的最新安全修复程序。Redis Enterprise 已经包含了相关 CVE 的修复程序。
针对开源 Redis 宣布的一些 CVE 不会影响 Redis Enterprise,因为 Redis Enterprise 中提供的功能不同或附加,而开源 Redis 中不可用。
Redis Enterprise 6.4.2-115 支持开源的 Redis 6.2 和 6.0。以下是按版本修复的开源 Redis CVE 列表。
Redis 6.2.x:
-
(CVE-2024-31449 漏洞)经过身份验证的用户可能使用特制的 Lua 脚本在位库中触发堆栈缓冲区溢出,这可能导致远程代码执行。
-
(CVE-2024-31228 漏洞)经过身份验证的用户可以通过对支持的命令(如
KEYS,SCAN,PSUBSCRIBE,FUNCTION LIST,COMMAND LIST和 ACL 定义。匹配极长的模式可能会导致无限递归,从而导致堆栈溢出和进程崩溃。 -
(CVE-2023-45145 漏洞)listen(2) 和 chmod(2) 调用的顺序错误会创建一个 另一个进程可以使用它来绕过所需的 Unix 的 race 条件 socket 权限。(Redis 6.2.14)
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.2.12) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.2.11) -
(CVE-2023-22458 漏洞)Redis 中的整数溢出
HRANDFIELD和ZRANDMEMBER命令可能导致拒绝服务。(Redis 6.2.9) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,可导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.2.11) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.2.9) -
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.2.13)
-
(CVE-2022-24736 漏洞)尝试加载特制 Lua 脚本的攻击者可导致空指针取消引用,从而导致
redis-server过程。此问题会影响 Redis 的所有版本。(Redis 6.2.7) -
(CVE-2022-24735 漏洞)通过利用 Lua 脚本执行环境中的弱点,有权访问 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高)权限执行。(Redis 6.2.7)
-
(CVE-2021-41099 漏洞)在处理某些字符串命令和网络负载时,可能会发生整数到堆缓冲区溢出,当
proto-max-bulk-len手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32762 漏洞)中的整数到堆缓冲区溢出问题
redis-cli和redis-sentinel在一些较旧和不太常见的平台上解析大型多批量回复时,可能会发生这种情况。(Redis 6.2.6) -
(CVE-2021-32761 漏洞)Redis 版本 2.2 或更高版本中的整数溢出错误可使用
BITFIELD命令来破坏堆,并可能导致远程代码执行。(Redis 6.2.5) -
(CVE-2021-32687 漏洞)整数到堆缓冲区溢出,当 intsets
set-max-intset-entries手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32675 漏洞)在许多连接上处理具有大量元素的 RESP 请求负载时,拒绝服务。(Redis 6.2.6)
-
(CVE-2021-32672 漏洞)Lua 调试器的随机堆读取问题。(Redis 6.2.6)
-
(CVE-2021-32628 漏洞)当为
hash-max-ziplist-entries,hash-max-ziplist-value,zset-max-ziplist-entries或zset-max-ziplist-value.(Redis 6.2.6) -
(CVE-2021-32627 漏洞)当为
proto-max-bulk-len和client-query-buffer-limit.(Redis 6.2.6) -
(CVE-2021-32626 漏洞)特别构建的 Lua 脚本可能会导致堆缓冲区溢出。(Redis 6.2.6)
-
(CVE-2021-32625 漏洞)使用 STRALGO LCS 命令可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。这是 CVE-2021-29477 修复不完整的结果。(Redis 6.2.4)
-
(CVE-2021-29478 漏洞)Redis 6.2 中的整数溢出错误可能被利用来破坏堆,并可能导致远程代码执行。该漏洞涉及更改默认的 set-max-intset-entries 配置值,创建一个由整数值组成的大型 set 键,并使用 COPY 命令复制它。从 2.6 开始的所有 Redis 版本都存在整数溢出错误,它可能导致 RDB 或 DUMP 有效负载损坏,但不会通过 COPY(在 6.2 之前不存在)利用。(Redis 6.2.3)
-
(CVE-2021-29477 漏洞)使用 STRALGO LCS 命令,可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。从 6.0 开始的所有 Redis 版本都存在整数溢出错误。(Redis 6.2.3)
Redis 6.0.x:
-
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.0.20)
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.0.19) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.0.18) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.0.18) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.0.17)