INFSA-2025:11401: Устранение уязвимостей valkey
Информация о бюллетене
Идентификатор: INFSA-2025:11401
Тип: устранение уязвимостей
Дата публикации: 2025-07-25 11:07:15 UTC
Информация о пакете
Valkey — это продвинутое хранилище данных типа «ключ-значение». Его часто называют сервером структур данных, поскольку ключи могут содержать строки, хеши, списки, множества и сортированные множества. Над этими типами данных можно выполнять атомарные операции, например, добавление к строке, увеличение значения хеша, запись в список, вычисление пересечения, объединения и разности множеств или получение элемента с наивысшим рангом в сортированном множестве. Для достижения выдающейся производительности Valkey работает с набором данных в памяти. В зависимости от сценария использования, вы можете сохранять данные, периодически выгружая их на диск или добавляя каждую команду в журнал. Valkey также поддерживает простую в настройке репликацию типа «главный-подчиненный» с очень быстрой неблокирующей первой синхронизацией, автоматическим переподключением при разделении сети и т. д. Другие функции включают транзакции, обмен сообщениями по модели «издатель – подписчик» (Pub/Sub), программирование на Lua, ключи с ограниченным временем жизни и настройки конфигурации, позволяющие Valkey вести себя как кэш. Valkey также можно использовать с большинством языков программирования.
Описание уязвимостей
- CVE-2025-32023
Уязвимость сервера системы управления базами данных (СУБД) Redis связана с целочисленным переполнением в буфере при выполнении команд, использующих алгоритм HyperLogLog. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путём отправки специально сформированной HLL-команды.
- CVE-2025-48367
Уязвимость сервера системы управления базами данных (СУБД) Redis вызвана обработкой ошибок плохого соединения. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.
- CVE-2025-27151
Уязвимость команды redis-check-aof системы управления базами данных (СУБД) Redis связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2025-27151
БДУ —
BDU:2025-08608
|
нет информации | 2.5 | нет информации |
|
NIST — CVE-2025-32023
БДУ —
BDU:2025-08113
|
нет информации | 7.0 | нет информации |
|
NIST — CVE-2025-48367
|
нет информации | 5.3 | нет информации |
Обновлённые пакеты