Redis Blog
·
安全公告:CVE-2025-21605
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Redis社区发现并修复了安全漏洞CVE-2025-21605,该漏洞允许未经认证的客户端导致服务拒绝(DoS)。默认配置下,Redis的输出缓冲区无限增长,可能耗尽内存。建议用户限制网络访问、强制使用TLS,并及时升级到最新版本。
🎯
关键要点
- Redis社区发现并修复了安全漏洞CVE-2025-21605,允许未经认证的客户端导致服务拒绝(DoS)。
- 该漏洞的CVSS评分为7.5(高)。
- Redis默认配置下,输出缓冲区无限增长,可能导致内存耗尽。
- 即使启用了密码认证,未提供密码的客户端仍可导致输出缓冲区增长。
- 建议用户限制网络访问,确保只有授权用户和系统可以访问Redis数据库。
- 强制使用TLS,要求用户使用客户端证书进行身份验证。
- Redis Cloud服务已升级修复,用户无需额外操作。
- 自管理Redis的用户需升级到最新版本以修复漏洞。
- 受影响的Redis版本包括7.22.0-28及以上、7.18.0-76及以上等。
- 感谢研究人员@polaris-alioth报告此漏洞。
❓
延伸问答
CVE-2025-21605是什么漏洞?
CVE-2025-21605是Redis中的一个服务拒绝(DoS)漏洞,允许未经认证的客户端导致输出缓冲区无限增长,从而耗尽内存。
Redis用户如何保护自己的数据库免受此漏洞影响?
用户应限制网络访问,确保只有授权用户可以访问Redis,并强制使用TLS进行身份验证。
受影响的Redis版本有哪些?
受影响的版本包括7.22.0-28及以上、7.18.0-76及以上等。
如何修复CVE-2025-21605漏洞?
自管理Redis的用户需升级到最新版本以修复漏洞,Redis Cloud服务已自动升级修复。
CVE-2025-21605的CVSS评分是多少?
该漏洞的CVSS评分为7.5,属于高风险等级。
如果启用了密码认证,未提供密码的客户端会有什么影响?
即使启用了密码认证,未提供密码的客户端仍可导致输出缓冲区增长,最终可能耗尽内存。
➡️
