CVE-2021-32765 in Hiredis
要約
〜によって VulDB • 2026年07月11日
HiredisはRedisデータベースのためのミニマリストなCクライアントライブラリです。影響を受けるバージョンのHiredisでは、悪意を持って作成または破損した`RESP` `mult-bulk`プロトコルデータが提供された場合、整数オーバーフローに対して脆弱性があります。`multi-bulk`(配列のような)応答をパースする際、hiredisは`count * sizeof(redisReply*)`が`SIZE_MAX`で表現可能かどうかをチェックしません。もし表現不可能であり、かつ`calloc()`呼び出し自体がこのチェックを行わない場合、短い割り当てとそれに続くバッファオーバーフローが発生します。更新できないhiredisのユーザーは、[maxelements](https://github.com/redis/hiredis#reader-max-array-elements)コンテキストオプションを、オーバーフローが不可能になるような小さな値に設定できます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.