Redis Enterprise Software 发行说明 7.4.2-216(2024 年 7 月)
region_name 字段用于新的 AWS S3 区域。错误修复。
| Redis 企业软件 |
|---|
这是 Redis Enterprise Software 版本 7.4.2 的维护版本。
突出
此版本提供:
-
region_name字段(适用于新的 AWS S3 区域) -
Bug 修复
此版本中的新增功能
增强
- 添加了
region_name字段,以导入、导出和备份新 AWS S3 区域中的数据。
Redis 模块功能集
Redis Enterprise 附带多个模块。从版本 7.4.2 开始,Redis Enterprise 包括两个功能集,与不同的 Redis 数据库版本兼容。
与 Redis 数据库版本 7.2 兼容的捆绑 Redis 模块:
与 Redis 数据库版本 6.0 和 6.2 兼容的捆绑 Redis 模块:
已解决的问题
-
RS124753:修复了使用启用了复制的恢复计划创建的数据库的错误,其中分片不写入持久性文件。
-
RS126290:允许在 Cluster Manager UI 中编辑现有的 Replica Of source's proxy certificate。
-
RS126476:修复了 DMC 代理日志中意外的数据库审核连接错误。
-
RS126382:当节点加入集群失败时,记录信息。
-
RS126655:修复了集群管理器 UI 中的数据库 RAM 限制显示问题。
-
RS125930:修复了由于加密错误而导致集群拒绝具有未知扩展名的证书链的错误。
-
RS118231:固定输出
rladmin tune db当由于无法访问分片而更新缓冲区限制失败时。 -
RS128091:修复了
XREADGROUP在 CRDB 上,阻止它重置 Consumer 的空闲时间XINFO.
版本变更
产品生命周期更新
2024 年 8 月 31 日之后,Redis 企业软件版本 6.2.4 和 6.2.8 将不包含在 7.4.x 之后的 Redis 企业软件版本支持的升级路径中。Redis 企业软件版本 6.2.10、6.2.12 和 6.2.18 仍然是升级路径的一部分。 下一个主要的 Redis Enterprise Software 版本仍将捆绑 Redis 数据库版本 6.2,并允许将数据库从 Redis 数据库版本 6.2 升级到 7.x。
有关版本号的更多信息,请参阅 Redis Enterprise Software 产品生命周期。
支持的平台
下表提供了截至此 Redis Enterprise Software 版本支持的平台的快照。有关作系统兼容性的更多详细信息,请参阅支持的平台参考。
✅ 支持 – 此版本的 Redis Enterprise 软件和 Redis Stack 模块支持该平台。
⚠️弃用警告 – 此版本的 Redis Enterprise Software 仍支持该平台,但在未来版本中将取消支持。
| Redis Enterprise 主要版本 |
7.4 | 7.2 | 6.4 | 6.2 |
|---|---|---|---|---|
| 发布日期 | 2024 年 2 月 | 2023 年 8 月 | 2023 年 2 月 | 2021 年 8 月 |
| 生命周期结束日期 | 在下一个主要版本之后 确定 |
2025 年 7 月 | 2025 年 2 月 | 2024 年 8 月 |
| 平台 | ||||
| RHEL 9 和 兼容的发行版1 |
✅ | – | – | – |
| RHEL 8 和 兼容的发行版1 |
✅ | ✅ | ✅ | ✅ |
| RHEL 7 和 兼容的发行版1 |
– | ⚠️ | ✅ | ✅ |
| Ubuntu 20.04 版本2 | ✅ | ✅ | ✅ | – |
| Ubuntu 18.04 版本2 | ⚠️ | ⚠️ | ✅ | ✅ |
| Ubuntu 16.04 版本2 | – | ⚠️ | ✅ | ✅ |
| Amazon Linux 2 | ✅ | ✅ | ✅ | – |
| 亚马逊 Linux 1 | – | ✅ | ✅ | ✅ |
| Kubernetes (简体中文)3 | ✅ | ✅ | ✅ | ✅ |
| 码头工人4 | ✅ | ✅ | ✅ | ✅ |
-
如果 RHEL 兼容发行版 CentOS、CentOS Stream、Alma 和 Rocky 具有完全的 RHEL 兼容性,则支持它们。支持运行 Red Hat 兼容内核 (RHCK) 的 Oracle Linux,但不支持 Unbreakable Enterprise Kernel (UEK)。
-
有关每个版本和 Kubernetes 发行版的支持的详细信息,请参阅 Redis Enterprise for Kubernetes 文档。
-
Redis Enterprise Software 的 Docker 映像仅经过认证,可用于开发和测试。
下载
下表显示了可用程序包的 SHA256 校验和:
| 包 | SHA256 校验和(7.4.2-216 7 月版) |
|---|---|
| Ubuntu 18 的 | d20e3cc11bf97d8feb20e3c24e9530b2aae28bf7450dd498674d44014f3fa079 |
| Ubuntu 20 的 | 724ef7cbd78612252a246ff66a43c3bdf8aa0102086df8c25e825edce9dcb01f |
| Red Hat Enterprise Linux (RHEL) 8 | 1d8e0d16ff802c6a87fc1f9290ae4c27e71f170e1573349d179d9ef042accec2 |
| Red Hat Enterprise Linux (RHEL) 9 | 7717999ebd7dd4d66db7cbd92b0439f95dadeddee1990da8c9bf7cdec84b71 |
| Amazon Linux 2 | 99b57ab72bbbcacdf9363d5b8eddfeaf6a23930a97cb6724334c4742810fcf5f |
安全
源可用 Redis 安全修复兼容性
作为 Redis 安全承诺的一部分,Redis Enterprise Software 从源代码可用的 Redis 实施了最新的安全修复程序。Redis Enterprise 已经包含了相关 CVE 的修复程序。
由于 Redis Enterprise 中的功能不同或额外,因此针对 Redis 宣布的某些 CVE 不会影响 Redis Enterprise。
Redis Enterprise 7.4.2 支持 Redis 7.2、6.2 和 6.0。以下是按版本修复的 Redis CVE 列表。
Redis 7.2.x:
-
(CVE-2024-31449 漏洞)经过身份验证的用户可能使用特制的 Lua 脚本在位库中触发堆栈缓冲区溢出,这可能导致远程代码执行。
-
(CVE-2024-31228 漏洞)经过身份验证的用户可以通过对支持的命令(如
KEYS,SCAN,PSUBSCRIBE,FUNCTION LIST,COMMAND LIST和 ACL 定义。匹配极长的模式可能会导致无限递归,从而导致堆栈溢出和进程崩溃。 -
(CVE-2023-41056 漏洞)在某些情况下,Redis 可能会错误地处理内存缓冲区的大小调整,这可能会导致缓冲区大小的计算不正确,并导致堆溢出和潜在的远程代码执行。
-
(CVE-2023-41053 漏洞)Redis 无法正确识别
SORT_RO因此,可能会授予执行此命令的用户访问未由 ACL 配置明确授权的密钥的权限。(Redis 7.2.1)
Redis 7.0.x版本:
-
(CVE-2024-31449 漏洞)经过身份验证的用户可能使用特制的 Lua 脚本在位库中触发堆栈缓冲区溢出,这可能导致远程代码执行。
-
(CVE-2024-31228 漏洞)经过身份验证的用户可以通过对支持的命令(如
KEYS,SCAN,PSUBSCRIBE,FUNCTION LIST,COMMAND LIST和 ACL 定义。匹配极长的模式可能会导致无限递归,从而导致堆栈溢出和进程崩溃。 -
(CVE-2023-41056 漏洞)在某些情况下,Redis 可能会错误地处理内存缓冲区的大小调整,这可能会导致缓冲区大小的计算不正确,并导致堆溢出和潜在的远程代码执行。
-
(CVE-2023-41053 漏洞)Redis 无法正确识别
SORT_RO因此,可能会授予执行此命令的用户访问未由 ACL 配置明确授权的密钥的权限。(Redis 7.0.13) -
(CVE-2023-36824 漏洞)在某些情况下,从命令和参数列表中提取键名称可能会触发堆溢出,并导致读取随机堆内存、堆损坏和可能的远程代码执行。具体来说:使用
COMMAND GETKEYS*以及 ACL 规则中键名称的验证。(Redis 7.0.12) -
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 7.0.11) -
(CVE-2023-28425 漏洞)特制的
MSETNX命令可能导致断言和拒绝服务。(Redis 7.0.10) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 7.0.9) -
(CVE-2023-22458 漏洞)Redis 中的整数溢出
HRANDFIELD和ZRANDMEMBER命令可能导致拒绝服务。(Redis 7.0.8) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,可导致其挂起并消耗 100% 的 CPU 时间。(Redis 7.0.9) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 7.0.8) -
(CVE-2022-35951 漏洞)执行
XAUTOCLAIM命令,并使用特制的COUNT参数可能会导致整数溢出、后续堆溢出,并可能导致远程代码执行。此问题会影响 Redis 版本 7.0.0 或更高版本。(Redis 7.0.5) -
(CVE-2022-31144 漏洞)特制的
XAUTOCLAIM命令可能会导致堆溢出,并可能远程执行代码。此问题会影响 Redis 版本 7.0.0 或更高版本。(Redis 7.0.4) -
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 7.0.12)
-
(CVE-2022-24736 漏洞)尝试加载特制 Lua 脚本的攻击者可导致空指针取消引用,从而导致
redis-server过程。此问题会影响 Redis 的所有版本。(Redis 7.0.0) -
(CVE-2022-24735 漏洞)通过利用 Lua 脚本执行环境中的弱点,有权访问 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高)权限执行。(Redis 7.0.0)
Redis 6.2.x:
-
(CVE-2024-31449 漏洞)经过身份验证的用户可能使用特制的 Lua 脚本在位库中触发堆栈缓冲区溢出,这可能导致远程代码执行。
-
(CVE-2024-31228 漏洞)经过身份验证的用户可以通过对支持的命令(如
KEYS,SCAN,PSUBSCRIBE,FUNCTION LIST,COMMAND LIST和 ACL 定义。匹配极长的模式可能会导致无限递归,从而导致堆栈溢出和进程崩溃。 -
(CVE-2023-45145 漏洞)listen(2) 和 chmod(2) 调用的顺序错误会创建一个 另一个进程可以使用它来绕过所需的 Unix 的 race 条件 socket 权限。(Redis 6.2.14)
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.2.12) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.2.11) -
(CVE-2023-22458 漏洞)Redis 中的整数溢出
HRANDFIELD和ZRANDMEMBER命令可能导致拒绝服务。(Redis 6.2.9) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,可导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.2.11) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.2.9) -
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.2.13)
-
(CVE-2022-24736 漏洞)尝试加载特制 Lua 脚本的攻击者可导致空指针取消引用,从而导致
redis-server过程。此问题会影响 Redis 的所有版本。(Redis 6.2.7) -
(CVE-2022-24735 漏洞)通过利用 Lua 脚本执行环境中的弱点,有权访问 Redis 的攻击者可以注入 Lua 代码,该代码将以另一个 Redis 用户的(可能更高)权限执行。(Redis 6.2.7)
-
(CVE-2021-41099 漏洞)在处理某些字符串命令和网络负载时,可能会发生整数到堆缓冲区溢出,当
proto-max-bulk-len手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32762 漏洞)中的整数到堆缓冲区溢出问题
redis-cli和redis-sentinel在一些较旧和不太常见的平台上解析大型多批量回复。(Redis 6.2.6) -
(CVE-2021-32761 漏洞)Redis 版本 2.2 或更高版本中的整数溢出错误可使用
BITFIELD命令来破坏堆,并可能导致远程代码执行。(Redis 6.2.5) -
(CVE-2021-32687 漏洞)整数到堆缓冲区溢出,当 intsets
set-max-intset-entries手动配置为非默认的非常大的值。(Redis 6.2.6) -
(CVE-2021-32675 漏洞)在许多连接上处理具有大量元素的 RESP 请求负载时,拒绝服务。(Redis 6.2.6)
-
(CVE-2021-32672 漏洞)Lua 调试器的随机堆读取问题。(Redis 6.2.6)
-
(CVE-2021-32628 漏洞)在处理 ziplist 编码的数据类型时,如果为
hash-max-ziplist-entries,hash-max-ziplist-value,zset-max-ziplist-entries或zset-max-ziplist-value.(Redis 6.2.6) -
(CVE-2021-32627 漏洞)当为
proto-max-bulk-len和client-query-buffer-limit.(Redis 6.2.6) -
(CVE-2021-32626 漏洞)特别构建的 Lua 脚本可能会导致堆缓冲区溢出。(Redis 6.2.6)
-
(CVE-2021-32625 漏洞)使用 STRALGO LCS 命令可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。这是 CVE-2021-29477 修复不完整的结果。(Redis 6.2.4)
-
(CVE-2021-29478 漏洞)Redis 6.2 中的整数溢出错误可能被利用来破坏堆,并可能导致远程代码执行。该漏洞涉及更改默认的 set-max-intset-entries 配置值,创建一个由整数值组成的大型 set 键,并使用 COPY 命令复制它。从 2.6 开始的所有 Redis 版本都存在整数溢出错误,它可能导致 RDB 或 DUMP 有效负载损坏,但不会通过 COPY(在 6.2 之前不存在)利用。(Redis 6.2.3)
-
(CVE-2021-29477 漏洞)使用 STRALGO LCS 命令,可以利用 Redis 版本 6.0 或更高版本中的整数溢出错误来破坏堆,并可能导致远程代码执行。从 6.0 开始的所有 Redis 版本都存在整数溢出错误。(Redis 6.2.3)
Redis 6.0.x:
-
(CVE-2022-24834 漏洞)在 Redis 中执行的特制 Lua 脚本可在 cjson 和 cmsgpack 库中触发堆溢出,并导致堆损坏和可能的远程代码执行。从 2.6 开始,所有支持 Lua 脚本的 Redis 版本都存在此问题,并且仅影响经过身份验证的用户和授权用户。(Redis 6.0.20)
-
(CVE-2023-28856 漏洞)经过身份验证的用户可以使用
HINCRBYFLOAT命令创建无效的哈希字段,该字段将在访问时使 Redis 崩溃。(Redis 6.0.19) -
(CVE-2023-25155 漏洞)特制
SRANDMEMBER,ZRANDMEMBER和HRANDFIELD命令可能会触发整数溢出,从而导致运行时断言和终止 Redis 服务器进程。(Redis 6.0.18) -
(CVE-2022-36021 漏洞)字符串匹配命令(如
SCAN或KEYS) 触发对 Redis 的拒绝服务攻击,可导致其挂起并消耗 100% 的 CPU 时间。(Redis 6.0.18) -
(CVE-2022-35977 漏洞)Redis 中的整数溢出
SETRANGE和SORT/SORT_RO命令可能会使 Redis 出现 OOM panic。(Redis 6.0.17)