Apache bRPC 漏洞(CVE-2025-54472)可导致远程拒绝服务攻击
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
Apache bRPC 发布安全公告,指出 Redis 协议解析器存在关键漏洞(CVE-2025-54472),可能导致远程服务崩溃。受影响版本为 1.14.1 之前,攻击者可通过特制数据包触发内存耗尽。建议升级至 1.14.1 或应用官方补丁以修复该问题。
🎯
关键要点
- Apache bRPC 发布安全公告,指出 Redis 协议解析器存在关键漏洞(CVE-2025-54472)。
- 该漏洞影响 1.14.1 之前的所有版本,包括已部分修复的 1.14.0 版本。
- 漏洞源于 bRPC 的 Redis 解析器在内存分配时处理整数值的方式不当。
- 攻击者可通过特制数据包触发无限内存分配,导致拒绝服务(DoS)状况。
- bRPC 团队在 1.14.0 版本尝试修复,但实现不完善,仍存在漏洞。
- 受影响的主要场景包括作为 Redis 服务器和客户端与不受信任的服务交互。
- 建议升级至 bRPC 1.14.1 版本或手动应用官方补丁以修复漏洞。
- 补丁引入了 64 MB 的默认最大分配限制,可能影响大于此限制的请求或响应。
❓
延伸问答
CVE-2025-54472 漏洞的影响是什么?
该漏洞可能导致远程服务崩溃,造成拒绝服务(DoS)状况。
哪些版本的 Apache bRPC 受到 CVE-2025-54472 漏洞的影响?
影响 1.14.1 之前的所有版本,包括已部分修复的 1.14.0 版本。
如何修复 CVE-2025-54472 漏洞?
建议升级至 bRPC 1.14.1 版本或手动应用官方补丁。
CVE-2025-54472 漏洞是如何被利用的?
攻击者可通过发送特制的 Redis 协议数据包触发无限内存分配,导致应用程序崩溃。
bRPC 团队在 1.14.0 版本中做了什么修复尝试?
他们尝试通过限制内存分配大小来修复此问题,但实现不完善,仍存在漏洞。
使用 Apache bRPC 的主要风险场景有哪些?
主要风险场景包括作为 Redis 服务器和客户端与不受信任的服务交互。
➡️
