INFSA-2025:21916: Устранение уязвимостей valkey
Информация о бюллетене
Идентификатор: INFSA-2025:21916
Тип: устранение уязвимостей
Дата публикации: 2025-12-07 23:15:47 UTC
Информация о пакете
Valkey — это продвинутое хранилище данных типа «ключ-значение». Его часто называют сервером структур данных, поскольку ключи могут содержать строки, хеши, списки, множества и сортированные множества. Над этими типами данных можно выполнять атомарные операции, например, добавление к строке, увеличение значения хеша, запись в список, вычисление пересечения, объединения и разности множеств или получение элемента с наивысшим рангом в сортированном множестве. Для достижения выдающейся производительности Valkey работает с набором данных в памяти. В зависимости от сценария использования, вы можете сохранять данные, периодически выгружая их на диск или добавляя каждую команду в журнал. Valkey также поддерживает простую в настройке репликацию типа «главный-подчиненный» с очень быстрой неблокирующей первой синхронизацией, автоматическим переподключением при разделении сети и т. д. Другие функции включают транзакции, обмен сообщениями по модели «издатель – подписчик» (Pub/Sub), программирование на Lua, ключи с ограниченным временем жизни и настройки конфигурации, позволяющие Valkey вести себя как кэш. Valkey также можно использовать с большинством языков программирования.
Описание уязвимостей
- CVE-2025-46817
Уязвимость системы управления базами данных (СУБД) Redis связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код.
- CVE-2025-46818
Уязвимость системы управления базами данных (СУБД) Redis связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код.
- CVE-2025-46819
Уязвимость системы управления базами данных (СУБД) Redis связана с чтением данных за пределами выделенного диапазона. Эксплуатация уязвимости может позволить аутентифицированному нарушителю вызвать сбой в работе сервера и последующий отказ в обслуживании, используя специально созданный скрипт LUA.
- CVE-2025-49844
Уязвимость системы управления базами данных (СУБД) Redis связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2025-46817
|
нет информации | 8.8 | нет информации |
|
NIST — CVE-2025-46818
|
нет информации | 6.0 | нет информации |
|
NIST — CVE-2025-46819
|
нет информации | 6.3 | нет информации |
|
NIST — CVE-2025-49844
|
нет информации | 8.8 | нет информации |
Обновлённые пакеты
Подготовка к загрузке...