検出

openSUSEセキュリティ更新プログラム: redis(openSUSE-2021-682)

high Nessus プラグイン ID 149549

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

redis用のこの更新は、次の問題を修正します:

redis 6.0.13

 - CVE-2021-29477: STralGO LCS コマンドの整数オーバーフロー (boo#1185729)

 - CVE-2021-29478: 大きな整数セットの COPY コマンドにおける整数オーバーフロー (boo#1185730)

 - Cluster: 失敗の検出を妨げる可能性がある不要なチェックをスキップします

 - Redis 6.0 の BRPOP のパフォーマンス回帰を修正します

 - モジュールクライアントがブロックされていない場合のエッジケースを修正します

redis 6.0.12 :

 - jemalloc が使用されていない場合の非 glibc システムのコンパイルエラーを修正します

redis 6.0.11 :

 - CVE-2021-21309: proto-max-bulk-len が高く設定されている場合に 32 ビットオーバーフローを回避します (boo#1182657)

 - スレッド化された IO および CLIENT PAUSE の処理を修正します (フェイルオーバー)。これは、データの損失またはクラッシュにつながる可能性があります

 - 大きなハッシュテーブルからのランダムな要素の選択を修正します

 - クライアント追跡 tracking-redir-broken メッセージの破損したプロトコルを修正します

 - XINFO がレプリカの期限切れのキーにアクセスできます

 - - a または --dbnum と共に使用した場合に redis-benchmark で破損したプロトコルを修正します

- arm64 CoW バグのテスト時に (古いカーネルの) アサーションを回避します

 - CONFIG REWRITE は、umask 設定を遵守する必要があります

 - 一部のコマンドの COMMAND コマンドの firstkey、lastkey、step を修正します

 - RM_ZsetRem: 空の場合はキーを削除します。バグにより空の zset キーが残る可能性があります

redis 6.0.10 :

コマンド動作の変更:

 - SWAPDB が WATCH されたキーを無効にします (#8239)

 - SORT コマンドが、書き込み可能なレプリカで使用されると、異なる動作をします (#8283)

 - EXISTS は LRU を変更すべきではありません (#8016) Redis 5.0 および 6.0 では、キーの LRU / LFU に影響を与えていました。

 - OBJECT は論理的に期限切れのキーを明らかにすべきではありません (#8016) 同じ TYPE または他の非 DEBUG コマンドを動作させるようになりました。

 - Redis がメモリ制限を超えている場合、GEORADIUS[BYMEMBER] が -OOM で失敗する可能性があります (#8107)

その他の動作の変更:

 - Sentinel: SENTINEL SET コマンド後に構成ファイルに欠落している更新を修正します (#8229)

 - CONFIG REWRITE はアトミックで安全ですが、構成ファイルのフォルダへの書き込みアクセスが必要です (#7824、#8051)。この変更は 6.0.9 にすでに存在しますが、リリースノートにはありませんでした。

互換性の影響に関連するバグ修正 (Redis で導入されたバグ 6.0) :

 - ビッグエンディアンシステムの RDB CRC64 チェックサムを修正します (#8270) ビッグエンディアンを使用している場合は、RESTORE、レプリケーション、パーシステンスとの互換性の影響を考慮してください。

 - Lua のマップ応答のキー / 値の間違った順序を修正します (#8266) スクリプトが redis.setresp() を使用するか、マップを返す場合 (Redis の新機能 6.0)、その影響を考慮してください。

バグ修正:

 - フォークされたプロセスが親の pidfile を削除する問題を修正します (#8231)

 - io-threads-do-reads を有効にする際のクラッシュを修正します (#8230)

 - クラスターバックアップ実行後の redis-cli のクラッシュを修正します (#8267)

 - モジュールのブロックされたクライアントの出力バッファ制限を処理します (#8141) モジュールがブロックされたクライアントに返信を送信し、制限を超える可能性があります。

 - setproctitle に関連するクラッシュを修正します。(#8150、#8088) 主に Apple M1 チップまたはインストルメンテーションで、起動時にさまざまなクラッシュを引き起こしました。

 - repl-diskless-load=swapdb のスロットマップへのクラスターモードキーのバックアップ/復元 (#8108) repl-diskless-load のあるクラスターモードでは、読み込みが失敗した場合、スロットマップが復元されませんでした。

 - oom-score-adj-values の範囲と、構成ファイルで使用した場合のバグを修正します (#8046)。行で構成ファイルでこの設定を有効した後は、バグが多くなります。

 - 空のデータベースの場合、平均 ttl をリセットします (#8106) INFO で誤解を招くメトリックを引き起こしています

 - Redis に子プロセスがある場合は、rehash を無効にします (#8007)。これにより、BGSAVE、レプリケーション、または AOFRW の間に過剰な CoW が引き起こされた可能性があります。

 - カテゴリを選択するための ACL アルゴリズムがさらに改善されました (#7966) ACL GETUSER の出力は、ACL SETUSER が提供するものにより類似しています。

 - モジュール GIL が時期尚早にリリースされるバグを修正します (#8061) 理論的には (そしてまれに) マルチスレッドモジュールがメモリを破損する可能性があります。

 - 重要な排除でフィードバックループを引き起こすクライアント追跡の影響を低減します (#8100)

 - 整列されていないメモリへのクラスターアクセスを修正します (古い ARM の SIGBUS) (#7958)

 - 2GB を超える文字列の RDB ファイルへの保存を修正します (#8306)

追加の改善点:

 - 特定の場合に、無駄な一時メモリ割り当てを回避します (#8286、#5954)

プラットフォーム / ツールチェーンサポート関連の改善:

 - ARM のクラッシュログレジスタ出力を修正します。(#8020)

 - ARM64 Linux カーネルバグのチェックを追加します (#8224) この問題の潜在的な重大度により、Redis は起動時にログ警告を出力します。

 - Raspberry ビルドの修正。(#8095)

新しい構成オプション:

 - oom-score-adj-values 構成が絶対値 (相対値以外) を取得できるようになりました (#8046)

モジュール関連の修正:

 - RMAPI_FUNC_SUPPORTED を使用できるように移動しました (#8037)

 - タイマーの精度を改善します (#7987)

 - RM_CreateStringPrintf の結果内で「\0」を許可します (#6260)

redis 6.0.9 :

 - jemalloc または glibc の malloc 以外のヒープアロケーター使用時の潜在的なヒープオーバーフロー。openSUSE パッケージには影響しません - boo#1178205

- クライアント argv のメモリレポート

 - raw 形式の行区切り文字に redis-cli コントロールを追加します

 - rediss: // -u プレフィックスに redis-cli サポートを追加します

 - WATCH は、MULTI/EXEC の期限が切れたキーを無視しなくなりました。

 - ストリームタイプの OBJECT ENCODING 応答を修正します

 - クラスターレプリカでブロックされた XREAD を許可します

 - TLS: 使用しない場合は CA 構成を必要としません

 - 複数のバグ修正

 - モジュール API への追加

redis 6.0.8 (jsc#PM-1615、jsc#PM-1622、jsc#PM-1681、jsc#ECO-2417、jsc#ECO-2867、jsc#PM-1547、jsc#CAPS-56、jsc#SLE-11578、jsc#SLE-12821) :

 - Sentinel でを使用する際のバグ修正

 - CONFIG REWRITE 使用時のバグ修正

 - madvise に設定されている場合、THP 警告を削除します

 - クラスターの読み取り専用レプリカで読み取りコマンド付き EXEC を許可します

 - master/replicas オプションを redis-cli --cluster call コマンドに追加します

 - 6.0.7 からの変更が含まれます:

 - CONFIG SET は、RDB/ROF のロード中にが到着すると、クライアントをハングアップさせる可能性があります。

 - RANK が一致よりも大きい場合の LPOS コマンドは、破損したプロトコルで応答します

 - Linux OOM Killer を制御するために oom-score-adj 構成オプションを追加します

 - INFO 出力に IO スレッドの統計とステータスを表示します

 - オプションの tls 検証モードを追加します (tls-auth-clients を参照)

redis 6.0.6 :

 - プレフィックス付きの CLIENT TRACKING を有効にする際のクラッシュを修正します

 - EXEC が常に EXECABORT で失敗し、マルチステートがクリアされます

 - RESTORE ABSTTL は期限切れのキーを db に保存しません

 - redis-cli が優先度の低いキー名の処理を改善します

 - TLS: tls-auth-clients がオフの場合にクライアント証明書を無視します

 - 追跡: フラッシュ時の無効化メッセージを修正します

 - Sentinel 起動時に systemd に通知します

 - STRALGO の誤用によるクラッシュを修正します

 - モジュール API の修正がほとんどありません

 - いくつかのまれな漏洩を修正します (STRALGO エラーの誤用、Sentinel)

 - スクリプトのデフラグで起こり得る無効なアクセスを修正します

 - リストを検索するための LPOS コマンドを追加します

 - クラスターモードの redis-cli および redis-benchmark で MIGRATE に user+pass を使用します

 - redis-cli が --pipe、--rdb 、および --replica オプションの TLS をサポートします

 - TLS: セッションキャッシング構成のサポート

redis 6.0.5 :

 - ACL LOAD の speical char の処理を修正します

 - 2 つのクラスターの混合を引き起こす可能性がある操作エラーについて Redis Cluster をより堅牢にします

 - RDB 転送の sendfile() 実装を元に戻します

 - チェーンされた証明書の TLS 証明書ロードを修正します

 - KEEPTTL SET オプションの AOF 書き換えを修正します

 - -BUSY スクリプトエラー中の MULTI/EXEC 動作を修正します

ソリューション

影響を受ける redis パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1178205

https://bugzilla.opensuse.org/show_bug.cgi?id=1182657

https://bugzilla.opensuse.org/show_bug.cgi?id=1185729

https://bugzilla.opensuse.org/show_bug.cgi?id=1185730

https://jira.suse.com/browse/ECO-2417

https://jira.suse.com/browse/ECO-2867

https://jira.suse.com/browse/PM-1547

https://jira.suse.com/browse/PM-1615

https://jira.suse.com/browse/PM-1622

https://jira.suse.com/browse/PM-1681

https://jira.suse.com/browse/SLE-11578

https://jira.suse.com/browse/SLE-12821

プラグインの詳細

深刻度: High

ID: 149549

ファイル名: openSUSE-2021-682.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/5/18

更新日: 2024/1/1

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-29477

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2021-29478

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:redis, p-cpe:/a:novell:opensuse:redis-debuginfo, p-cpe:/a:novell:opensuse:redis-debugsource, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/5/7

脆弱性公開日: 2021/2/26

参照情報

CVE: CVE-2021-21309, CVE-2021-29477, CVE-2021-29478