Percona Database Performance Blog
·
安全公告:影响Valkey的一系列CVE漏洞
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Valkey数据库软件存在一系列漏洞,影响所有版本。建议尽快升级到新版本以修复这些漏洞。若无法立即升级,可通过使用Valkey ACLs限制特定命令来降低风险,并确保Valkey集群端口不暴露给终端用户,进行适当的网络隔离和配置,以防止恶意攻击。
🎯
关键要点
-
Valkey数据库软件存在一系列漏洞,影响所有版本。
-
建议尽快升级到新版本以修复这些漏洞。
-
如果无法立即升级,可以使用Valkey ACLs限制特定命令以降低风险。
-
确保Valkey集群端口不暴露给终端用户,并进行适当的网络隔离和配置,以防止恶意攻击。
-
恶意用户可以通过脚本命令注入任意信息,可能导致数据损坏或篡改。
-
RESTORE命令的特殊构造可能导致Valkey触发断言,导致服务器关闭。
-
Valkey集群总线端口不应暴露给终端用户,并应受到网络ACL的保护。
-
恶意行为者可以通过发送无效请求触发服务器关闭,影响所有Valkey 9.0.x版本。
❓
延伸问答
Valkey数据库软件存在哪些漏洞?
Valkey数据库软件存在一系列漏洞,影响所有版本,包括恶意用户通过脚本命令注入信息、RESTORE命令导致服务器关闭等问题。
如何修复Valkey的漏洞?
建议尽快升级到新版本的Valkey以修复漏洞。如果无法立即升级,可以使用Valkey ACLs限制特定命令以降低风险。
如果无法升级Valkey,应该采取哪些措施?
可以使用Valkey ACLs限制特定命令,并确保Valkey集群端口不暴露给终端用户,进行适当的网络隔离和配置。
Valkey集群端口的安全配置有什么建议?
建议确保Valkey集群端口不暴露给终端用户,并受到网络ACL的保护,以防止恶意攻击。
恶意用户如何利用Valkey的漏洞?
恶意用户可以通过脚本命令注入任意信息,导致数据损坏或篡改,甚至通过发送无效请求触发服务器关闭。
Valkey的RESTORE命令有什么风险?
特殊构造的RESTORE命令可能导致Valkey触发断言,进而导致服务器关闭,影响所有Valkey 9.0.x版本。
➡️
