USN-7893-1: Valkey 漏洞 | Ubuntu 安全公告
发布日期 2025年11月26日
概述 Valkey 中的多个安全问题已得到修复。
软件包
- valkey - 具有网络接口的持久化键值数据库
详情 Benny Isaacs、Nir Brakha 和 Sagi Tzadik 发现 Valkey 在执行 Lua 脚本时错误地处理内存。经过身份验证的攻击者可以利用此漏洞触发释放后使用的情况,并可能在 Valkey 服务器上实现远程代码执行。(CVE-2025-49844)
发现 Valkey 在执行 Lua 脚本时错误地处理内存。经过身份验证的攻击者可以利用此漏洞触发整数溢出情况,并可能在 Valkey 服务器上实现远程代码执行。(CVE-2025-46817)
发现 Valkey 错误地处理 Lua 对象。经过身份验证的攻击者可能利用此问题来提升其权限。(CVE-2025-46818)
发现 Valkey 在执行 Lua 脚本时错误地处理内存。经过身份验证的攻击者可以利用此漏洞读取越界内存,导致拒绝服务或可能获取敏感信息。(CVE-2025-46819)
发现 Valkey 在某些计算中错误地处理内存。攻击者可能利用此问题导致拒绝服务。(CVE-2025-49112)
更新说明 此更新使用了新的上游版本,其中包含额外的错误修复。通常,标准的系统更新将完成所有必要的更改。
可以通过将系统更新到以下软件包版本来纠正此问题:
| Ubuntu 版本 | 软件包版本 |
|---|---|
| 25.10 (questing) | valkey-server – 8.1.4+dfsg1-0ubuntu0.2 |
| 25.04 (plucky) | valkey-server – 8.0.6+dfsg1-0ubuntu0.2 |
| 24.04 LTS (noble) | valkey-server – 7.2.11+dfsg1-0ubuntu0.2 |
参考资料
- CVE-2025-49844
- CVE-2025-49112
- CVE-2025-46819
- CVE-2025-46818
- CVE-2025-46817
相关公告
- USN-7824-1
- USN-7824-2
- USN-7824-3