Fedora 41 : valkey (2025-00e79c49ca)

critical Nessus プラグイン ID 270124

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 41 ホストには、FEDORA-2025-00e79c49ca のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

**Valkey 8.0.6** - 2025 年 10 月 3 日 (金曜日) にリリース

アップグレードの緊急性セキュリティ: このリリースにはセキュリティ修正が含まれています。可能な限り早急に適用することをお勧めします。

セキュリティ修正

* **CVE-2025-49844** Lua スクリプトにより、リモートコードの実行が発生する可能性があります
* **CVE-2025-46817** Lua スクリプトにより、整数オーバーフローおよび潜在的な RCE が発生する可能性があります
* **CVE-2025-46818** Lua スクリプトが、別のユーザーのコンテキストで実行される可能性があります
* **CVE-2025-46819** LUA の領域外読み取り

バグ修正

* レプリケーション統計でのデュアルチャネル RDB バイトの集計を修正 (#2616)
* デュアル rdb チャネル接続の conn エラーログのマイナーな修正 (#2658)
* ゼロと比較する符号なし差分表現を修正 (#2101)

----

**Valkey 8.0.5** - 2025 年 8 月 22 日 (木曜日) リリース

アップグレードの緊急性セキュリティ: このリリースにはセキュリティ修正が含まれています。可能な限り早急に適用することをお勧めします。

バグ修正

* 特定のブロック操作の後にコマンドを再処理する際に、ブロックされたままになるクライアントを修正します (#2109)
* 共有化された pub/sub 登録解除ロジックのメモリ破損の問題を修正します (#2137)
* 「aux_save2」コールバックがデータを書き込まない場合にモジュールコンテキストが確実に解放されるようにすることで、メモリ漏洩の可能性を修正します (#2132)
* 一時停止されたクライアントで使用される際に予期しないエラーを発生させる「CLIENT UNBLOCK」を修正します (#2117)
* 発信 TLS 接続の作成時に「SSL_new()」で欠落している NULL チェックを修正します (#2140)
* サイレントパケットドロップを防止するために ping 拡張の長さの不適切なキャストを修正します (#2144)
* 古くなった設定エポックによるレプリカフェイルオーバーのストールを修正します (#2178)
* 動的設定変更後の「CLUSTER SLOTS」/「CLUSTER NODES」の不適切な port/tls-port 情報を修正します (#2186)
* Lua スクリプトの空のエラーテーブルで Valkey がクラッシュしないようにします (#2229)
* メモリオーバーヘッド計算のクライアント追跡を修正 (#2360)
* nodes.conf からの逸脱した shard-id を処理し、プライマリノードの shard-id に合わせます (#2174)
* RDB ファイルを読み込む際、スロットごとの事前サイズハッシュテーブルを修正 (#2466)

動作の変更

* 強制的な手動フェイルオーバー (「CLUSTER FAILOVER FORCE」) の間、選択を即座にトリガーして遅延を回避します (#1067)
* 新たな手動フェイルオーバーを開始する際に、進行中の選択状態をリセットします (#1274)

ログとツールの改善:

* すべてのクラスターパケットをドロップするためのサポートを追加します (#1252)
* フェイルオーバー認証拒否メッセージのログの明瞭さを改善します (#1341)

セキュリティ修正

* **CVE-2025-27151**: valkey-check-aof の AOF ファイル名の長さをチェックし、「PATH_MAX」より長いパスを拒否します (#2146)

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。