Apache bRPC 漏洞(CVE-2025-54472)可导致远程拒绝服务攻击
内容提要
Apache bRPC 发布安全公告,指出 Redis 协议解析器存在关键漏洞(CVE-2025-54472),可能导致远程服务崩溃。受影响版本为 1.14.1 之前,攻击者可通过特制数据包触发内存耗尽。建议升级至 1.14.1 或应用官方补丁以修复该问题。
关键要点
-
Apache bRPC 发布安全公告,指出 Redis 协议解析器存在关键漏洞(CVE-2025-54472)。
-
该漏洞影响 1.14.1 之前的所有版本,包括已部分修复的 1.14.0 版本。
-
漏洞源于 bRPC 的 Redis 解析器在内存分配时处理整数值的方式不当。
-
攻击者可通过特制数据包触发无限内存分配,导致拒绝服务(DoS)状况。
-
bRPC 团队在 1.14.0 版本尝试修复,但实现不完善,仍存在漏洞。
-
受影响的主要场景包括作为 Redis 服务器和客户端与不受信任的服务交互。
-
建议升级至 bRPC 1.14.1 版本或手动应用官方补丁以修复漏洞。
-
补丁引入了 64 MB 的默认最大分配限制,可能影响大于此限制的请求或响应。
延伸解读
漏洞影响范围
CVE-2025-54472 漏洞影响了所有 1.14.1 之前的 Apache bRPC 版本,包括 1.14.0 版本。用户在使用 bRPC 作为 Redis 服务器或客户端时,需特别注意与不受信任服务的交互,避免潜在的拒绝服务攻击。
修复措施的局限性
虽然 bRPC 团队在 1.14.0 版本中尝试修复漏洞,但由于实现不完善,仍存在被攻击的风险。用户在升级至 1.14.1 版本后,需关注 64 MB 的最大分配限制,可能影响大于此限制的请求或响应。
安全防护建议
建议用户尽快升级至 bRPC 1.14.1 版本或手动应用官方补丁,以降低被攻击的风险。同时,用户应评估自身系统中 Redis 请求和响应的大小,确保不会因新限制而导致服务中断。
延伸问答
CVE-2025-54472 漏洞的影响是什么?
该漏洞可能导致远程服务崩溃,造成拒绝服务(DoS)状况。
哪些版本的 Apache bRPC 受到 CVE-2025-54472 漏洞的影响?
影响 1.14.1 之前的所有版本,包括已部分修复的 1.14.0 版本。
如何修复 CVE-2025-54472 漏洞?
建议升级至 bRPC 1.14.1 版本或手动应用官方补丁。
CVE-2025-54472 漏洞是如何被利用的?
攻击者可通过发送特制的 Redis 协议数据包触发无限内存分配,导致应用程序崩溃。
bRPC 团队在 1.14.0 版本中做了什么修复尝试?
他们尝试通过限制内存分配大小来修复此问题,但实现不完善,仍存在漏洞。
使用 Apache bRPC 的主要风险场景有哪些?
主要风险场景包括作为 Redis 服务器和客户端与不受信任的服务交互。
