Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление СУБД Redis 7.0.15 и 7.2.4 с устранением уязвимости"	+/–
Сообщение от opennews (??), 10-Янв-24, 17:37
В корректирующих выпусках СУБД Redis 7.0.15 и 7.2.4 устранена опасная уязвимость (CVE-2023-41056), которая потенциально может привести к удалённому выполнению кода из-за записи данных в область за пределами выделенного буфера. Проблема проявляется начиная с выпуска  Redis 7.0.9 и вызвана некорректным вычислением параметров буфера в функции sdsResize при выполнении запроса изменения размера... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60415
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 10-Янв-24, 17:55	–3 +/–
> it could forget to update the sds type in the sds header and then cause an overflow in sdsalloc Дыряшка во всей своей красе!
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от another_one (ok), 10-Янв-24, 17:56	–4 +/–
> из-за записи данных в область за пределами выделенного буфера Защитники Си, вы где, ау!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #7, #13, #15, #28, #31

4. Сообщение от Аноним (4), 10-Янв-24, 18:10	+4 +/–
Да вот они https://kitaigid.ru/wp-content/uploads/2022/07/530245_062907...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 10-Янв-24, 18:31	+/–
Предложи другую технологию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #16

7. Сообщение от C00l_ni66a (ok), 10-Янв-24, 19:04	+1 +/–
Они пишут код. В отличии от тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от Аноним (13), 10-Янв-24, 19:39	+/–
Ну вообще-то, чтобы не было уязвимостей на сишке, на крупный проект лет 30 времени уйдет на написания, если программист будет обдумывать последствия каждой строчки. Вот и выходит: сначала пишут - потом CVE, времени ни у кого нет бесплатного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #25, #30

14. Сообщение от Аноним (13), 10-Янв-24, 19:44	+/–
И если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #17

15. Сообщение от лютый жабби.... (?), 10-Янв-24, 19:55	+/–
>Защитники Си, вы где, ау! dnf module list redis redis                              5 [d] redis                              6 свидетель доцкер:latest ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от лютый жабби.... (?), 10-Янв-24, 19:57	–5 +/–
>Предложи другую технологию. ты не поверишь, но ваш однопоточный редис тормозное гуанцо. у нормальных нешкольников hazelcast и подобное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #23

17. Сообщение от лютый жабби.... (?), 10-Янв-24, 20:00	–4 +/–
>если проверять каждый указатель на выход за пределы буфера или на NULL, то быстродейтсвие кода получится так себе. дык, у редиса и так быстродействие ниже плинтуса, можно уже не напрягаться ) оно висит отдельной прогой и по сети (ну может юникс сокету, я ваше г не юзаю) отвечает. хочешь скорости, держи кеш в самом приложении
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27

23. Сообщение от Аноним (23), 10-Янв-24, 22:38	+4 +/–
> у нормальных нешкольников hazelcast Ну да, блоатварь на жабке будет быстрее, инфа 100%.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

24. Сообщение от Аноним (25), 11-Янв-24, 04:33	+/–
> Redis Оно же уже под не_свободной лицензией?
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 11-Янв-24, 04:36	+/–
> лет 30 времени уйдет на написания Где-то громко заржал очередной Copilot подобный плагин. Вылезай уже из своей криокамеры. В блокноте код давно никто не пишет. Даже без AI полно средств для безопасного написания кода на любом языке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #26, #29

26. Сообщение от User (??), 11-Янв-24, 07:48	+/–
Танк секретный. Ученые могут не знать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от User (??), 11-Янв-24, 07:49	+/–
... и трахайся с синхронизацией кэшей между репликами. Да. Сiмъ победимъ!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

28. Сообщение от Lost Inside (ok), 11-Янв-24, 09:19	+/–
И действительно. Конпелятор же создает кодъ. А программёр - прокладка между стулом и клавой. Не удивлюсь, если растофилы именно так и считают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от Аноним (13), 11-Янв-24, 09:39	+/–
Ну вот ты сказал - всё супер, а новые CVE на сишке как были везде 20 лет назад, так и сейчас есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

30. Сообщение от BeLord (ok), 11-Янв-24, 10:09	+/–
Нормальный программист думает всегда над тем, что делает. Смузишколота хреначит черт знает что, потом удивляется, что ресурсы жрет и падает их поделие. Едем дальше, считать деньги для любого нормального PM естественно, как следствие, во многих случаях выгодней написать нормально сразу, а не рефакторить и тестировать до второго пришествия и только эффективные манагеры пургу гонят, а потом конторы разоряются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

31. Сообщение от adolfus (ok), 11-Янв-24, 19:56	+/–
BerkeleyDB в Oracle пилят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

32. Сообщение от Аноним (32), 11-Янв-24, 20:19	+/–
Без Сальвадора уже не то
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от лютый жабби.... (?), 11-Янв-24, 21:39	+/–
> и трахайся с синхронизацией кэшей между репликами 1. из коробки 2. далеко не всегда оно надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34

34. Сообщение от User (??), 12-Янв-24, 07:07	+/–
>> и трахайся с синхронизацией кэшей между репликами > 1. из коробки > 2. далеко не всегда оно надо Ну да - если одной реплики хватает, то "изкоробочная" синхронизация кэшей через астрал (По сети\через сокет жи медленно!) кагбэ и нинужна, тут не поспоришь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #35

35. Сообщение от лютый жабби.... (?), 12-Янв-24, 15:41	+/–
>синхронизация кэшей через астрал зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #36

36. Сообщение от User (??), 12-Янв-24, 15:52	+/–
>>синхронизация кэшей через астрал > зачем кеши синхронизировать, дауненок? ещё и в блокирующем режиме? Решительно незачем, Вы правы! Да и сам кэш не очень-то нужен, правда? Ну придет одинаковый запрос на разные реплики - сходят они в бд за данными, делов-то? Зато без этого вашего медленного-медленного-по-сети-редиса! И если разным сервисам может понадобиться один и тот же набор данных - кэш тоже не нужен, пусть сам сервис у себя все дублирует - скорости ради. И бороться с инвалидацией кэшей 100500 раз - это ж так хорошо, удобно и замечательно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема