Redis Enterprise Software 发行说明 7.2.4-105(2024 年 2 月)
LDAP 身份验证超时可使用 REST API 进行配置。RHEL 8.9 支持。
| Redis 企业软件 |
|---|
这是 Redis Enterprise Software 版本 7.2.4 的维护版本。
突出
此版本提供:
-
可配置的 LDAP 身份验证超时
-
RHEL 8.9 支持
此版本中的新增功能
增强
-
LDAP 身份验证超时
directory_timeout_s现在可使用PUT /v1/cluster/ldapREST API 请求。 -
添加了对 RHEL 8.9 的支持。
Redis 模块
Redis Enterprise Software 版本 7.2.4-105 包括以下 Redis 堆栈模块:
已解决的问题
-
RS106070:超过超时后,集群升级将失败并向用户显示错误。
-
RS107974:在本地 CCS 不可用的情况下,增加了加入请求的重试计数。
-
RS118229:修复了新集群管理器 UI 中的一个问题,即数据库无法扩展以使用试用版许可证可用的最大分片数。
版本变更
支持的平台
下表提供了截至此 Redis Enterprise Software 版本支持的平台的快照。有关作系统兼容性的更多详细信息,请参阅支持的平台参考。
✅ 支持 – 此版本的 Redis Enterprise Software 支持该平台。
⚠️已弃用 – 此版本的 Redis Enterprise Software 仍支持该平台,但在未来版本中将取消支持。
❌ 生命周期结束 – 平台支持在此版本的 Redis Enterprise Software 中结束。
| Redis 企业版 | 7.2.4 | 6.4.2 | 6.2.18 | 6.2.12 | 6.2.10 | 6.2.8 | 6.2.4 |
|---|---|---|---|---|---|---|---|
| 发布日期 | 2023 年 8 月 |
2023 年 2 月 |
2022 年 9 月 |
2022 年 8 月 |
2022 年 2 月 |
2021 年 10 月 |
2021 年 8 月 |
| 生命周期结束日期 | – | 2025 年 2 月 |
2024 年 8 月 |
2024 年 8 月 |
2024 年 8 月 |
2024 年 8 月 |
2024 年 8 月 |
| Ubuntu 浏览器1 | |||||||
| 20.04 | ✅ | ✅6 | – | – | – | – | – |
| 18.04 | ⚠️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| 16.04 | ❌ | ⚠️ | ✅ | ✅ | ✅ | ✅ | ✅ |
| RHEL & CentOS2 | |||||||
| 8.9 | ✅9 | – | – | – | – | – | – |
| 8.8 | ✅ | ✅8 | – | – | – | – | – |
| 8.7 | ✅ | ✅ | – | – | – | – | – |
| 8.5-8.6 | ✅ | ✅ | ✅ | ✅ | ✅ | – | – |
| 8.0-8.4 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | – |
| 7.0-7.9 | ⚠️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| 甲骨文 Linux3 | |||||||
| 8 | ✅ | ✅ | ✅ | ✅ | ✅ | – | – |
| 7 | ⚠️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| 洛奇 Linux3 | |||||||
| 8 | ✅ | ✅ | ✅ | – | – | – | – |
| Amazon Linux | |||||||
| 2 | ✅ | ✅7 | – | – | – | – | – |
| 1 | ⚠️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| 码头工人4 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Kubernetes (简体中文)5 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
-
RHEL 和 CentOS 部署需要 OpenSSL 1.0.2 和防火墙配置。
-
Redis Enterprise Software 的 Docker 映像仅经过认证,可用于开发和测试。
-
Ubuntu 20.04 支持已在 Redis Enterprise Software 6.4.2-43 中添加。
-
Redis Enterprise Software 6.4.2-61 中添加了 Amazon Linux 2 支持的候选版本。Redis Enterprise Software 6.4.2-69 中添加了对 Amazon Linux 2 的官方支持。
-
Redis Enterprise Software 6.4.2-103 及更高版本支持 RHEL 8.8。
-
Redis Enterprise Software 7.2.4-105 及更高版本支持 RHEL 8.9。
下载
下表显示了可用软件包的 MD5 校验和:
| 包 | MD5 校验和(7.2.4-105 2 月版本) |
|---|---|
| Ubuntu 18 的 | 8d78258f76d0968437c0b6bc4e1c5e12 |
| Ubuntu 20 的 | 48bcb267f6d154989726b556e93f64aa |
| RedHat Enterprise Linux (RHEL) 7 Oracle Enterprise Linux (OL) 7 |
2d5ad0090de6f5ef513cbf4e07da9ed5 |
| RedHat Enterprise Linux (RHEL) 8 Oracle Enterprise Linux (OL) 8 Rocky Enterprise Linux |
974c6815bfd53bf74e349b2beae1780f |
| Amazon Linux 2 | bf296f206da39830f3c4d8d46e2193c1 |
安全
开源 Redis 安全修复兼容性
作为 Redis 安全承诺的一部分,Redis Enterprise Software 实施了开源 Redis 提供的最新安全修复程序。Redis Enterprise 已经包含了相关 CVE 的修复程序。
针对开源 Redis 宣布的一些 CVE 不会影响 Redis Enterprise,因为 Redis Enterprise 中提供的功能不同或附加,而开源 Redis 中不可用。
Redis Enterprise 7.2.4-105 版本支持开源的 Redis 7.2、6.2 和 6.0。以下是按版本修复的开源 Redis CVE 列表。
Redis 7.2.x:
-
(CVE-2023-41056 漏洞)在某些情况下,Redis 可能会错误地处理内存缓冲区的大小调整,这可能会导致缓冲区大小的计算不正确,并导致堆溢出和潜在的远程代码执行。
-
(CVE-2023-41053 漏洞)Redis 无法正确识别
SORT_RO因此,可能会授予执行此命令的用户访问未由 ACL 配置明确授权的密钥的权限。(Redis 7.2.1)
Redis 7.0.x版本:
-
(CVE-2023-41056 漏洞)在某些情况下,Redis 可能会错误地处理内存缓冲区的大小调整,这可能会导致缓冲区大小的计算不正确,并导致堆溢出和潜在的远程代码执行。
-
(CVE-2023-41053 漏洞)Redis 无法正确识别
SORT_RO因此,可能会授予执行此命令的用户访问未由 ACL 配置明确授权的密钥的权限。(Redis 7.0.13) -
(CVE-2023-36824 漏洞)在某些情况下,从命令和参数列表中提取键名称可能会触发堆溢出,并导致读取随机堆内存、堆损坏和可能的远程代码执行。具体来说:使用
COMMAND GETKEYS*以及 ACL 规则中键名称的验证。(Redis 7.0.12) -
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 7.0.11) -
(CVE-2023-28425 漏洞)特制
MSETNX命令可能导致断言和拒绝服务。(Redis 7.0.10) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 7.0.9) -
(CVE-2023-22458 漏洞)Redis 中的整数溢出
HRANDFIELD和ZRANDMEMBER命令可能导致拒绝服务。(Redis 7.0.8) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,导致其挂起并消耗 100% 的 CPU 时间。(Redis 7.0.9) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 7.0.8) -
(CVE-2022-35951 漏洞)执行
XAUTOCLAIM命令,并使用特制的COUNT参数可能会导致整数溢出、后续堆溢出,并可能导致远程代码执行。此问题会影响 Redis 版本 7.0.0 或更高版本。(Redis 7.0.5) -
(CVE-2022-31144 漏洞)特制的
XAUTOCLAIM命令可能会导致堆溢出,并可能远程执行代码。此问题会影响 Redis 版本 7.0.0 或更高版本。(Redis 7.0.4) -
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 7.0.12)
-
(CVE-2022-24736 漏洞)尝试加载特制 Lua 脚本的攻击者可导致空指针取消引用,从而导致
redis-server过程。此问题会影响 Redis 的所有版本。(Redis 7.0.0) -
(CVE-2022-24735 漏洞)通过利用 Lua 脚本执行环境中的弱点,有权访问 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高)权限执行。(Redis 7.0.0)
Redis 6.2.x:
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.2.12) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.2.11) -
(CVE-2023-22458 漏洞)Redis 中的整数溢出
HRANDFIELD和ZRANDMEMBER命令可能导致拒绝服务。(Redis 6.2.9) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.2.11) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.2.9) -
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.2.13)
-
(CVE-2022-24736 漏洞)尝试加载特制 Lua 脚本的攻击者可导致空指针取消引用,从而导致
redis-server过程。此问题会影响 Redis 的所有版本。(Redis 6.2.7) -
(CVE-2022-24735 漏洞)通过利用 Lua 脚本执行环境中的弱点,有权访问 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高)权限执行。(Redis 6.2.7)
-
(CVE-2021-41099 漏洞)处理某些字符串命令和网络负载时出现整数到堆缓冲区溢出,当
proto-max-bulk-len手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32762 漏洞)中的整数到堆缓冲区溢出问题
redis-cli和redis-sentinel在一些较旧和不太常见的平台上解析大型多批量回复。(Redis 6.2.6) -
(CVE-2021-32761 漏洞)Redis 版本 2.2 或更高版本中的整数溢出错误可使用
BITFIELD命令来破坏堆,并可能导致远程代码执行。(Redis 6.2.5) -
(CVE-2021-32687 漏洞)整数到堆缓冲区溢出,当 intsets
set-max-intset-entries手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32675 漏洞)在许多连接上处理具有大量元素的 RESP 请求负载时,拒绝服务。(Redis 6.2.6)
-
(CVE-2021-32672 漏洞)Lua 调试器的随机堆读取问题。(Redis 6.2.6)
-
(CVE-2021-32628 漏洞)当为
hash-max-ziplist-entries,hash-max-ziplist-value,zset-max-ziplist-entries或zset-max-ziplist-value.(Redis 6.2.6) -
(CVE-2021-32627 漏洞)当为
proto-max-bulk-len和client-query-buffer-limit.(Redis 6.2.6) -
(CVE-2021-32626 漏洞)特别构建的 Lua 脚本可能会导致堆缓冲区溢出。(Redis 6.2.6)
-
(CVE-2021-32625 漏洞)使用 STRALGO LCS 命令可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。这是 CVE-2021-29477 修复不完整的结果。(Redis 6.2.4)
-
(CVE-2021-29478 漏洞)Redis 6.2 中的整数溢出错误可能被利用来破坏堆,并可能导致远程代码执行。该漏洞涉及更改默认的 set-max-intset-entries 配置值,创建一个由整数值组成的大型 set 键,并使用 COPY 命令复制它。从 2.6 开始的所有 Redis 版本都存在整数溢出错误,它可能导致 RDB 或 DUMP 有效负载损坏,但不会通过 COPY(在 6.2 之前不存在)利用。(Redis 6.2.3)
-
(CVE-2021-29477 漏洞)使用 STRALGO LCS 命令,可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。从 6.0 开始的所有 Redis 版本都存在整数溢出错误。(Redis 6.2.3)
Redis 6.0.x:
-
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.0.20)
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.0.19) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.0.18) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.0.18) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.0.17)