一、漏洞组件

Redis 是一种内存数据结构存储，用作数据库、缓存、消息代理和流引擎。Redis 提供数据结构，例如 字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis内置了复制、Lua 脚本、LRU 驱逐、事务和不同级别的磁盘持久性，并通过 Redis Sentinel 和 Redis Cluster 自动分区提供高可用性。

二、漏洞描述

Redis hyperloglog存在越界写入漏洞，经过身份验证的用户构造恶意字符串在hyperloglog操作上触发堆栈/堆越界写入，从而导致远程代码执行。

三、影响范围

8.0.0≤redis<8.0.3

7.4-rc1≤redis<7.4.5

7.2.0≤redis<7.2.10

2.8.0≤redis<6.2.19

四、处置建议

官方已发布最新版本修复该漏洞，建议受影响用户将 redis 更新到以下版本。

redis 8.0 升级至 8.0.3 及以上版本

redis 7.2 升级至 7.2.10 及以上版本

redis 7.4 升级至 7.4.5 及以上版本

低版本redis升级至6.2.19及以上版本