Redis hyperloglog 远程代码执行漏洞

Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。 Redis存在安全漏洞，该漏洞源于超日志操作可能导致堆栈或堆越界写入，可能导致远程代码执行。以下版本受到影响：2.8版本至8.0.3版本、7.4.5版本、7.2.10版本和6.2.19之前版本。

越界访问漏洞可能导致以下危害：

1. 敏感信息泄露：攻击者可能利用越界访问读取未授权的内存区域，获取敏感数据如用户凭证、加密密钥等。
2. 程序崩溃：越界访问可能导致程序异常终止，影响服务的可用性。
3. 远程代码执行：攻击者可能通过精心构造的输入触发越界，从而控制程序执行流，执行任意代码。
4. 拒绝服务攻击：恶意的越界访问可能导致服务崩溃，使正常用户无法使用服务。

升级修复方案：
升级产品至8.0.3、7.2.10、7.4.5、6.2.19 或之后的版本，下载地址：https://github.com/redis/redis/releases

临时缓解措施：
使用 Redis ACL 限制 HyperLogLog 命令：通过配置访问控制列表（ACL），禁止用户执行 PFADD、PFCOUNT、PFMERGE 等 HLL 相关命令。