The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в СУБД Redis и Valkey"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от opennews (??), 07-Июл-25, 11:49 
Опубликованы корректирующие выпуски СУБД Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) и Valkey (8.0.4, 8.1.3), в которых устранены две уязвимости. Наиболее опасная уязвимость (CVE-2025-32023) потенциально может привести к удалённому выполнению кода на сервере из-за записи данных в область за пределами выделенного буфера. Для эксплуатации уязвимости атакующий должен иметь возможность отправки команд в СУБД...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63537

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в СУБД Redis и Valkey"  –2 +/
Сообщение от Аноним (1), 07-Июл-25, 11:49 
https://www.opennet.dev/opennews/art.shtml?num=60808 надо - там такого нету.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (-), 07-Июл-25, 17:56 
> https://www.opennet.dev/opennews/art.shtml?num=60808 надо - там такого нету.

Там все намного хуже:

> Проект написан на языке C#

Это сразу черная метка.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в СУБД Redis и Valkey"  –1 +/
Сообщение от Эксконтрибутор FreeBSD (?), 07-Июл-25, 21:17 

C 73.5%
Tcl 24.8%
Python 0.5%
CMake 0.3%
Ruby 0.3%
Makefile 0.3%
Other 0.3%

Что ты несешь, блин?

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (44), 09-Июл-25, 05:03 
https://github.com/microsoft/garnet
C# 98.4%
C++ 1.0%
PowerShell 0.5%
JavaScript 0.1%
CMake 0.0%
CSS 0.0%
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в СУБД Redis и Valkey"  +1 +/
Сообщение от penetrator (?), 08-Июл-25, 12:38 
C# не приговор, это одна из немногих вещей, которую не угробили, возможно лучшая платформа среди подобных на сегодня

а вот Майкрософт - да, черная метка

поэтому я с дотнетом хоть и работаю, но сижу в ожидании какого-то сюрприза

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

45. "Уязвимости в СУБД Redis и Valkey"  –1 +/
Сообщение от Аноним (44), 09-Июл-25, 05:04 
не угробили, но очень сильно стремятся к этому =)
сейчас основная ставка на TypeScript
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Илья (??), 09-Июл-25, 09:57 
>> Проект написан на языке C#
>Это сразу черная метка.

А мужики и не знали. C# это в принципе лучший язык на сегодняшний день

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

35. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от OpenEcho (?), 07-Июл-25, 21:26 
А ничего что сам Мелкософт говорит что Гарнет не замена Редиски?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Уязвимости в СУБД Redis и Valkey"  –1 +/
Сообщение от Аноним (-), 07-Июл-25, 12:05 
> к удалённому выполнению кода на сервере из-за записи
> данных в область за пределами выделенного буфера.

Проблема вызвана ошибкой в src/hyperloglog.c

Ха-ха, классик. Ничего нового.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в СУБД Redis и Valkey"  +5 +/
Сообщение от User (??), 07-Июл-25, 12:17 
Не пристало самураю жаловаться на остроту его меча!
Таков путь.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в СУБД Redis и Valkey"  +3 +/
Сообщение от Аноним (4), 07-Июл-25, 12:24 
Над чем смеетесь? Над собой смеетесь!
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

12. "Уязвимости в СУБД Redis и Valkey"  +6 +/
Сообщение от Аноним (12), 07-Июл-25, 14:21 
Смеёшься что не смог переписать на Раст?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Уязвимости в СУБД Redis и Valkey"  –3 +/
Сообщение от Аноним (1), 07-Июл-25, 14:52 
Микрософт уже переписали на C# - тоже безопасный язык.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в СУБД Redis и Valkey"  +1 +/
Сообщение от Аноним (14), 07-Июл-25, 15:04 
> Микрософт… и безопасный…

шутите?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (44), 09-Июл-25, 05:07 
Где шутка? В том что нельзя абьюзить переполнеине стека? Или в том, что язык очень даже человеко-читаемый, в отличии от C/C++, и когда проггер с сопоставимыми навыками и знаниями кодит на нём - у него вероятность ошибки ниже на 2 порядка...
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (14), 09-Июл-25, 12:22 
шутка в том что .Net от мелкомягких безопасный и следовательно “китайская” копия написанная “си-тюрьма” будет неуязвимой в отличии от оригинала.

а рассуждения про сферических прогеров с сопоставимыми навыками оставьте для курсовых и дипломных работ

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (14), 09-Июл-25, 12:24 
ниже keydon набросил про безопасные ЯП ))
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

17. "Уязвимости в СУБД Redis и Valkey"  +6 +/
Сообщение от keydon (ok), 07-Июл-25, 15:46 
А до этого еще безопасная джава была (привет андройд). И безопасный js (привет веб 2000ых). Теперь вот безопасный раст (привет карго).
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

47. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (44), 09-Июл-25, 05:27 
Java и JS не подходят для системно-серверной разработки от слова совсем. Серверное ПО на них писать такое себе.
У JS проблема в том, что он однопоточный и медленный, либо ооочень большие накладные расходы.
У Java в лимите памяти, и тоже не особо шустрый, да и вообще он уже легаси, которое не очень стремятся переделывать, такая совместимость с одной стороны круто, с другой - бич прогресса. Нет смысла начинать что-то новое на Java, а где он остался - хорошо себя чувствует.
Rust - очень специфичный язык, но комьюнити, на котором всё держится - от него брыкается.
Я бы ещё добавил Go, но у него своя специфика обработки ошибок, СУБД или что-то подобное на нём писать - потенциально опасно.
У Dlang - комьюнити слабое.
Python - синтаксически язык ужасен и не позволяет написать что-то большее чем AttachCPPLibrary()
Остаются всякие богомерзкие Ruby, Perl'ы...
И C# который по дефолту безопасен, хорошо оптимизируется (от версии к версии), позволяет писать проекты на десятки миллионов строк кода без учёта nuget (в один бинарник). Когда завезут полноценный натив с дженериками - будет бомба. Пока у него только 2 больший минуса, которые когда-то были плюсом - JIT и GC (JIT пора дать возможность отключать, нативная компиляция пока багнутая, бывает выстреливает с некоторыми конструкциями, а GC - это уже тихий ужас, чем больше проект, тем он медленнее и тупее, а на Linux JIT+GC при контроллируемой пользователем runtime-компиляцией могут породить утечку памяти)
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (7), 07-Июл-25, 12:36 
> Проблема вызвана ошибкой в реализации ... для приблизительного подсчёта

Ха-ха-ха! Это пять!

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в СУБД Redis и Valkey"  +2 +/
Сообщение от Аноним (12), 07-Июл-25, 15:08 
Причина тряски?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в СУБД Redis и Valkey"  +1 +/
Сообщение от YetAnotherOnanym (ok), 07-Июл-25, 20:21 
Слово знакомое увидел.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (32), 07-Июл-25, 21:20 
Твой ник увидел. И не может содержаться от смеха.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в СУБД Redis и Valkey"  +3 +/
Сообщение от Аноним (-), 07-Июл-25, 12:41 
> алгоритм HyperLogLog для приблизительного подсчёта уникальных элементов
> приблизительного

кидали бы про rand, чего уж там мелочится
можно на всякий случай проверить на кубике d20, а лучше на d100!

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в СУБД Redis и Valkey"  +3 +/
Сообщение от Аноним (18), 07-Июл-25, 16:07 
Экспертиза опеннет на марше. Что такое HLL и для чего он нужен не знают, но мнение имеют.

Осталось два месяца.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в СУБД Redis и Valkey"  –2 +/
Сообщение от Аноним (-), 07-Июл-25, 13:28 
Интересно, они в курсе от такой вещи как тесты?
Ну типа написать тест, который будет скармливать разные виды строк.
Или даже фаззинг натравить.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в СУБД Redis и Valkey"  +1 +/
Сообщение от Аноним (12), 07-Июл-25, 14:20 
Ты хочешь оплатить работу человека, который это все сделает? То что ты говоришь хорошо только в идеальном мире.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (18), 07-Июл-25, 16:34 
Проекты опенсорсные, так что можно ничего не оплачивать, а просто стать тем человеком, который всё это сделает и отправит PR.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от пох. (?), 07-Июл-25, 17:22 
нельзя, для этого надо не щупать одногруппниц на лекции второго курса про "тесты", а кодить уметь. (А когда, если вдруг, кодить научится - узнает печальную новость что тестами эту проблему не решить.)

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в СУБД Redis и Valkey"  –2 +/
Сообщение от Аноним (1), 07-Июл-25, 17:33 
Да, потому что она решается только выкидываением устаревшего рантайма ("C" не так сильно устарел, как его рантайм с опасными функциями).
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (18), 07-Июл-25, 17:49 
> для этого надо не щупать одногруппниц на лекции второго курса про "тесты", а кодить уметь

Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает. А те, 3,5 исключения, что туда по ошибке заблудились — лучшая реклама целибата, ты их сам щупать не захочешь. Так что дело за малым: сесть и накодить тестов, фаззинга, приправить статическими анализаторами и попытаться убедить «матёрых»™ «программистов»™ вмержить этот балаган в мастер^Wмэйн.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

25. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от пох. (?), 07-Июл-25, 18:56 
> Не надо грязи, на те специальности где тесты и кодить одногруппниц не бывает.

тьфуй, мерзость какая. Сплошная запрещенная в рф экстримисская пропаганда у вас получается!

Не, если фаззинг принесет им в клювике готовый баг - убеждать ни в чем будет не надо, просто показывай как есть, исправят, как в любом относительно живом проекте, а эти - живые. (совершенно необязательно чтобы баг был уязвимостью)

Но обычно лапки мешают что-то обнаружить этим мастерам, знающим кунфу, джиуджитсу и еще много страшных слов.

Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  +/
Сообщение от _ (??), 07-Июл-25, 19:09 
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от нах. (?), 07-Июл-25, 21:20 
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в СУБД Redis и Valkey"  –1 +/
Сообщение от Аноним (24), 07-Июл-25, 18:35 
Акстись, аноним. Тесты делаются через ИИ за полчаса. За $20 в месяц.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

26. "Уязвимости в СУБД Redis и Valkey"  +2 +/
Сообщение от пох. (?), 07-Июл-25, 18:57 
> Акстись, аноним. Тесты делаются через ИИ за полчаса. За $20 в месяц.

и чего ж это ты еще не сделал?


Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в СУБД Redis и Valkey"  –1 +/
Сообщение от Аноним (36), 07-Июл-25, 21:54 
Ты меня перепутал с разработчиками Редиса. В своих проектах сделал.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от пох. (?), 07-Июл-25, 23:21 
да кому твои хеловроты интересны?
То есть у тебя ноль успехов в проектах размером с редис, но ты точно знаешь что твои наляпанные с помощью ИИ тесты найдут любую ошибку в коде которого ты не понимаешь.
"Верить в себя, не видеть препятствий..."

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (36), 08-Июл-25, 01:41 
А вон тот человек, время которого нужно оплатить - он бы тестами нашёл любую ошибку в коде? Даже авторы этого кода её не нашли. Или им недостаточно заплатили? Ты хоть смотри на чьо отвечаешь.

Если тесты может написать человек, а не написал он только потому, что времени у него нет, то и ИИ тебе такие тесты напишет. За полчаса. За $20 в месяц. Поэтому "заплати за время человека" - это уже в наше время бредни, про что и было сказано.

Если же ты предлагаешь заплатить за время исследователя, который в сишной помойке уязвимости ищет - это другая задача. Но её тоже можно попробовать решить за те же $20.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от нах. (?), 08-Июл-25, 08:12 
> А вон тот человек, время которого нужно оплатить - он бы тестами нашёл любую ошибку в
> коде?

хахахаха! Как можно сомневаться-то, вон выпускник заборостроительного техникума с парой хеловротов совершенно уверен, что тесты нужны для нахождения подобных ошибок в коде.

> то и ИИ тебе такие тесты напишет.

тоже нет. От живого человека, объевшегося грибочков, и то больше толку, чем от того что тебе понапишет ИИ.

> Если же ты предлагаешь заплатить за время исследователя, который в сишной помойке
> уязвимости ищет - это другая задача. Но её тоже можно попробовать решить за те же $20.

не, по вторникам не подаю.

Тут уже лексика человека, который ничего точно никогда в жизни не найдет.
Просто фантазирует.

Но ты можешь заработать $20 если покажешь промпт, находящий в старом коде эту, уже известную проблему. (нет, разумеется, нельзя пользоваться знаниями о том где она найдена и в чем заключается)

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в СУБД Redis и Valkey"  +1 +/
Сообщение от Аноним (32), 07-Июл-25, 21:19 
Акстись, аноним ты в своем городе никогда не заработаешь такие деньжищи.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

34. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от нах. (?), 07-Июл-25, 21:21 
> Акстись, аноним ты в своем городе никогда не заработаешь такие деньжищи.

да я готов одолжить, только ведь хрен он и с "деньжищами" чего сможет.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (40), 08-Июл-25, 03:26 
Будущее за ИИ-языками. Не просто ИИ-агент-копилот, как сейчас, а полноценный ИИ, но оформленный в виде языка. На этапе компиляции он сможет писать и прогонять все возможные тесты, сможет обеспечить безопасную работу с памятью(вставить проверки на длину массива там где это нужно, например при обработке ввода, а не везде подряд, т.е. банальные итераторы статичного массива известной длины с минимальным счетчиком), а главное будет способен избавить код от алгоритмических ошибок, например путем "мысленных экспириментов".
Хз, ведуться ли работы в этом направлении, но вот так вижу будущее разработки.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от нах. (?), 08-Июл-25, 08:20 
Только вот "ии" не умеет в мысленные эксперименты. Даже когда он тебе описывает последовательность рассуждений - это все та же бредогенерация. Он не рассуждает, он сразу генерит готовый ответ. Иногда правильный.

Поэтому получится у тебя примерно как в анекдоте про "как собирают корабли в бутылке? - Насыпают в бутылку палок и ниток, наливают клей и трясут. Получается разная хрень. Иногда - корабль."

Фрипластелины, пошедшие в Газу маршрутом, набредогенеренным им АИ (поскольку сами они в географии - примерно как местные специалисты в кодинге) не дадут соврать.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Аноним (44), 09-Июл-25, 05:44 
Ну как раз таки в мысленные эксперименты он уже умеет, сейчас это уже не просто нейронка с множеством слоёв, а отдельные модули, общающиеся между собой, и например у Gemini есть специальный модуль обратной связи, который проверяет полученный ответ, прежде чем вернуть пользователю и может самостоятельно решить зайти с другой стороны, рассмотреть другие варианты, отклониться от поставленной задачи и прощупать граничные условия. Разве это не оно? Вот DeepSeek - да, это генератор лютого бреда. А GPT скорее сгаллюцинирует понравившийся тебе ответ, если у него нет корректного ответа.
Нейронки развиваются очень быстро, на примере Google Veo: ещё 2 месяца назад Veo генерировал видео, но не умел генерить текстовые надписи в этом видео, как будто несколько надписей наложили друг на друга, 2 недели назад уже было что-то похожее на текст, но как будто символы из разных языков в слове, но можно было иногда прочитать, вчера уже увидел видео, где текст максимально корректный, даже с учётом пространственного положения вещи с надписью, которая между прочем двигалась и сжималась (ткань).
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от нах. (?), 09-Июл-25, 19:44 
> Разве это не оно?

именно потому и не оно. Ты ж не проверяешь свои рассуждения косвенными способами "а не наглючил ли я их целиком?" И не кодишь на языке которого не знаешь, выдумывая на ходу синтаксис (или дергая вызовы библиотеки которую не потрудился изучить - придумывая их вместо того чтоб прочитать наконец инструкцию - "а вдруг там и правда такой окажется").
Но зато начало автоматизировать тот самый процесс - "дура, что ты мне набредила, это не так работает же ж!"

> А GPT скорее сгаллюцинирует понравившийся тебе ответ, если у него нет корректного ответа.

любая модель так работает - чем сомнительней (для нее) задача, тем больше вероятность что ответ будет совершенно бредовым.

(но, кстати, странно что дикпик, обучавшийся в том числе на предыдущих моделях, худший из всех. То ли китайский цензор помешал, то ли вот что...)

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в СУБД Redis и Valkey"  +/
Сообщение от Мистер Сишник сэр (?), 09-Июл-25, 12:22 
Garnet не затрагивает - я спокоен.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру