关键信息 漏洞描述 漏洞名称: hiredis, hiredis-py: Multiple Vulnerabilities 漏洞编号: GLSA 202210-32 发布日期: October 31, 2022 最后修订日期: October 31, 2022: 1 严重程度: normal 可利用性: remote 关联漏洞ID: - 873079 - 816318 受影响的包 dev-libs/hiredis: - 受影响版本: = 1.0.1 dev-python/hiredis: - 受影响版本: = 2.0.0 背景 hiredis 是一个用于 Redis 数据库的极简 C 客户端库。hiredis-py 是一个 Python 扩展,封装了 hiredis。 漏洞描述 当解析 协议数据时,如果提供的数据是恶意构造或损坏的 (array-like) 回复,hiredis 会失败,无法检查 是否可以表示为 。如果不能,并且 调用本身不执行此检查,会导致短分配和后续的缓冲区溢出。 影响 恶意的 Redis 命令可能导致远程代码执行。 解决方法 所有 hiredis 用户应升级到最新版本: 所有 hiredis-py 用户应升级到最新版本: 参考 CVE-2021-32765