|
漏洞描述 Redis HyperLogLog 是一种概率性数据结构,它能以极小的、恒定的内存空间来高效地估算一个集合中不重复元素的数量(即基数)。 受影响版本中,在解析 HyperLogLog 稀疏编码数据时,由于未能充分验证其操作码中的运行长度(run-length),攻击者可构造恶意数据导致累加索引时发生整数溢出,进而绕过边界检查,最终引发堆内存的越界写入。 修复版本通过增加一个 valid 标志位,在检测到索引计算即将溢出时立即将数据标记为无效并中断处理循环,从而阻止了后续的越界写入操作。 漏洞名称 Redis hyperloglog 越界写入导致远程代码执行漏洞 漏洞类型 整数溢出导致缓冲区溢出 发现时间 2025-07-07 漏洞影响广度 - MPS 编号 MPS-8hrg-zfb6 CVE 编号 CVE-2025-32023 CNVD 编号 - 影响范围 redis@[7.2.0, 7.2.10) redis@[7.4.0, 7.4.5) redis@[2.8, 6.2.19) redis@[8.0.0, 8.0.3) 修复方案 将组件 redis 升级至 6.2.19 及以上版本 将组件 redis 升级至 8.0.3 及以上版本 将组件 redis 升级至 7.2.10 及以上版本 将组件 redis 升级至 7.4.5 及以上版本 (责任编辑:IT) |