เวอร์ชันใหม่ของ DBMS Redis 7.0 เปิดตัวแล้วRedis มีคุณสมบัติสำหรับการจัดเก็บข้อมูลในรูปแบบคีย์/ค่า ขยายด้วยการรองรับรูปแบบข้อมูลที่มีโครงสร้าง เช่น รายการ แฮช และชุด รวมถึงความสามารถในการเรียกใช้ไดรเวอร์สคริปต์ Lua ฝั่งเซิร์ฟเวอร์
ต่างจากระบบจัดเก็บข้อมูลในหน่วยความจำอย่าง Memcached Redis ให้การจัดเก็บข้อมูลบนดิสก์อย่างต่อเนื่องและรับรองความปลอดภัยของฐานข้อมูลในกรณีที่การปิดระบบผิดปกติ ข้อความต้นฉบับของโครงการเผยแพร่ภายใต้ใบอนุญาต BSD
ไลบรารีของไคลเอ็นต์พร้อมใช้งานสำหรับภาษาที่ได้รับความนิยมสูงสุด รวมทั้ง Perl, Python, PHP, Java, Ruby และ Tcl Redis รองรับธุรกรรมที่อนุญาตให้คุณดำเนินการกลุ่มคำสั่งในขั้นตอนเดียว ทำให้มั่นใจถึงความสอดคล้องและความสอดคล้อง (คำสั่งจากคำขออื่นไม่สามารถบล็อกได้) การดำเนินการของชุดคำสั่งที่กำหนด และในกรณีที่เกิดปัญหา อนุญาตให้คุณย้อนกลับได้ การเปลี่ยนแปลง. ข้อมูลทั้งหมดถูกแคชอย่างสมบูรณ์ใน RAM
คุณสมบัติใหม่ที่สำคัญของ Redis 7.0
ในเวอร์ชันใหม่ของ DBMS ที่นำเสนอ เพิ่มการรองรับฟังก์ชั่นฝั่งเซิร์ฟเวอร์ไม่เหมือนสคริปต์ Lua ที่รองรับก่อนหน้านี้ ฟังก์ชันไม่ใช่แอปพลิเคชันเฉพาะและมีวัตถุประสงค์เพื่อใช้ตรรกะเพิ่มเติม ที่ขยายขีดความสามารถของเซิร์ฟเวอร์
ฟังก์ชันต่างๆ ได้รับการประมวลผลอย่างแยกไม่ออกกับข้อมูลและสัมพันธ์กับฐานข้อมูล ไม่ใช่แอปพลิเคชัน ซึ่งรวมถึงการจำลองแบบและการจัดเก็บข้อมูลแบบถาวร
ความแปลกใหม่อีกอย่างที่โดดเด่นใน Redis 7.0 คือ ACL รุ่นที่สองซึ่งช่วยให้คุณควบคุมการเข้าถึงข้อมูลตามคีย์ และอนุญาตให้คุณกำหนดชุดกฎการเข้าถึงที่แตกต่างกันสำหรับคำสั่งที่มีความสามารถในการผูกตัวเลือกหลายตัว (ชุดสิทธิ์) กับผู้ใช้แต่ละราย แต่ละคีย์สามารถระบุได้ด้วยสิทธิ์บางอย่าง ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึงให้อ่านหรือเขียนเฉพาะชุดย่อยของคีย์บางชุดเท่านั้น
นอกจากนี้ ยังมีข้อสังเกตอีกว่า Redis 7.0 ให้บริการ ,es การใช้งานที่กระจัดกระจาย ของกระบวนทัศน์การกระจายข้อความ เผยแพร่-สมัครสมาชิกซึ่งทำงานบนคลัสเตอร์ โดยที่ข้อความจะถูกส่งไปยังโหนดเฉพาะที่แนบช่องทางข้อความ หลังจากนั้นข้อความนี้จะถูกเปลี่ยนเส้นทางไปยังโหนดที่เหลือซึ่งรวมอยู่ในฮัลล์ ลูกค้าสามารถรับข้อความได้โดยสมัครรับข้อมูลจากช่องทาง ทั้งโดยการเชื่อมต่อกับโหนดหลักและโหนดรองของส่วน
นอกจากนี้ยังมีการเน้นย้ำว่า ให้ความสามารถในการจัดการการกำหนดค่าหลายอย่างพร้อมกัน ในการเรียก CONFIG SET/GET ครั้งเดียว และตัวเลือก “–json”, “-2”, “–scan”, “–functions-rdb” ถูกเพิ่มไปยังยูทิลิตี้ redis-cli
โดยค่าเริ่มต้น, การเข้าถึงการตั้งค่าและคำสั่งที่ส่งผลต่อความปลอดภัยถูกปิดใช้งาน สำหรับลูกค้า (เช่น คำสั่ง DEBUG และ MODULE ถูกปิดใช้งาน ไม่อนุญาตให้เปลี่ยนการกำหนดค่าด้วยการตั้งค่าสถานะ PROTECTED_CONFIG) Redis-cli หยุดส่งคำสั่งที่มีข้อมูลที่ละเอียดอ่อนไปยังไฟล์ประวัติ
ในทางกลับกัน ปรากฏว่าe ทำส่วนใหญ่ของการเพิ่มประสิทธิภาพโดยมุ่งเป้าไปที่การปรับปรุงประสิทธิภาพ และลดการใช้หน่วยความจำ ตัวอย่างเช่น, การใช้หน่วยความจำลดลงอย่างมาก เมื่อเปิดใช้งานโหมดคลัสเตอร์ เมื่อดำเนินการคัดลอกเมื่อเขียน และเมื่อทำงานกับคีย์แฮชและ zset บวกกับตรรกะได้รับการปรับปรุงเพื่อล้างข้อมูลไปยังดิสก์ (เรียกว่า fsync)
แก้ไขช่องโหว่ CVE-2022-24735 ในสภาพแวดล้อมการเรียกใช้สคริปต์ Lua ซึ่งอนุญาตให้คุณแทนที่โค้ด Lua ของคุณเองและทำให้โค้ดทำงานในบริบทของผู้ใช้รายอื่น รวมถึงผู้ที่มีสิทธิ์สูงกว่า
นอกจากนั้น ชี้ไปที่ ช่องโหว่ (CVE-2022-0543) ในแพ็คเกจที่มี Redis สำหรับ Ubuntu และ Debian (ปัญหามีเฉพาะกับแต่ละแอสเซมบลีและไม่เกี่ยวข้องกับ Redis เอง) ซึ่งอนุญาตให้เรียกใช้โค้ด Lua โดยพลการบนเซิร์ฟเวอร์ระยะไกลและข้ามกลไกการแยกแซนด์บ็อกซ์ของสภาพแวดล้อมสำหรับการเรียกใช้สคริปต์ใน Redis
แก้ไขช่องโหว่ CVE-2022-24736 ที่อาจทำให้กระบวนการเซิร์ฟเวอร์ redis หยุดทำงานเนื่องจากการไม่อ้างอิงตัวชี้ null การโจมตีทำได้โดยการโหลดสคริปต์ Lua ที่สร้างขึ้นเป็นพิเศษ
ในที่สุดถ้าคุณเป็น สนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ สามารถตรวจสอบรายละเอียดได้ดังต่อไปนี้ ลิงค์