La nuova versione del DBMS Redis 7.0 è già stata rilasciata, Redis offre funzionalità per l'archiviazione dei dati in formato chiave/valore, esteso con il supporto per formati di dati strutturati come elenchi, hash e set, nonché la possibilità di eseguire driver di script Lua lato server.
A differenza dei sistemi di archiviazione in memoria come Memcached, Redis fornisce l'archiviazione permanente dei dati su disco e garantisce la sicurezza del database in caso di arresto anomalo. I testi di partenza del progetto sono distribuiti sotto licenza BSD.
Le librerie client sono disponibili per i linguaggi più diffusi, inclusi Perl, Python, PHP, Java, Ruby e Tcl. Redis supporta transazioni che consentono di eseguire un gruppo di comandi in un unico passaggio, garantendo coerenza e consistenza (i comandi provenienti da altre richieste non possono bloccare) l'esecuzione di un determinato insieme di comandi e, in caso di problemi, consente di eseguire il rollback i cambiamenti. Tutti i dati sono completamente memorizzati nella RAM.
Nuove funzionalità chiave di Redis 7.0
In questa nuova versione del DBMS che viene presentata aggiunto il supporto per le funzioni lato server, a differenza degli script Lua precedentemente supportati, le funzioni non sono specifiche dell'applicazione e hanno lo scopo di implementare una logica aggiuntiva che espande le capacità del server.
Le funzioni sono elaborate indissolubilmente con i dati e in relazione al database, e non all'applicazione, inclusa la replica e l'archiviazione persistente.
Un'altra novità che spicca in Redis 7.0 è il ACL seconda edizione, che consente di controllare l'accesso ai dati in base alle chiavi e di definire diversi set di regole di accesso per i comandi con la possibilità di associare più selettori (set di autorizzazioni) a ciascun utente. Ogni chiave può essere identificata con determinate autorizzazioni, ad esempio è possibile limitare l'accesso alla sola lettura o scrittura di un determinato sottoinsieme di chiavi.
Oltre a questo, si segnala che Redis 7.0 fornisce una visita attuazione frammentata del paradigma della distribuzione dei messaggi Pubblica-Sottoscrivi, in esecuzione su un cluster, in cui un messaggio viene inviato a un nodo specifico a cui è collegato il canale del messaggio, dopodiché questo messaggio viene reindirizzato ai nodi rimanenti inclusi nello scafo. I clienti possono ricevere messaggi iscrivendosi ad un canale, sia collegandosi al nodo primario che ai nodi secondari della sezione.
Si evidenzia anche questo fornito la possibilità di gestire più configurazioni contemporaneamente in una singola chiamata CONFIG SET/GET e che le opzioni “–json”, “-2”, “–scan”, “–functions-rdb” sono state aggiunte all'utility redis-cli.
Per impostazione predefinita, l'accesso alle impostazioni e ai comandi che influiscono sulla sicurezza è disabilitato per i client (ad esempio, i comandi DEBUG e MODULE sono disabilitati, è vietato modificare le configurazioni con il flag PROTECTED_CONFIG). Redis-cli ha interrotto l'invio di comandi contenenti dati sensibili al file di cronologia.
D'altra parte, lo spiccaAbbiamo effettuato gran parte delle ottimizzazioni volte a migliorare le prestazioni e ridurre il consumo di memoria. Per esempio, il consumo di memoria è stato notevolmente ridotto quando la modalità cluster è abilitata, durante l'esecuzione di operazioni di copia in scrittura e quando si lavora con chiavi hash e zset, inoltre è stata migliorata la logica per scaricare i dati su disco (denominato fsync).
Risolta la vulnerabilità CVE-2022-24735 nell'ambiente di esecuzione dello script Lua, che consente di sovrascrivere il proprio codice Lua e farlo funzionare nel contesto di un altro utente, inclusi quelli con privilegi più elevati.
Inoltre, possiamo indicare vulnerabilità (CVE-2022-0543) nei pacchetti con Redis per Ubuntu e Debian (il problema è specifico dei singoli assembly e non è correlato a Redis stesso), che consente l'esecuzione di codice Lua arbitrario su un server remoto e bypassando il meccanismo di isolamento sandbox dell'ambiente per l'esecuzione di script in Redis.
Risolta la vulnerabilità CVE-2022-24736 che poteva causare l'arresto anomalo del processo del server redis a causa di un dereferenziamento del puntatore nullo. L'attacco viene eseguito caricando script Lua appositamente predisposti.
finalmente se lo sei interessati a saperne di più, Puoi controllare i dettagli di seguito collegamento.