Redis 官方稍早釋出了 Redis 8.4.1 版本更新。本次更新被官方明確標記為 「SECURITY」 等級,其中包含了必須被重視的安全修補。除了核心的資安修正外,本次更新大幅集中在 RediSearch、RedisBloom 與 RedisJSON 等模組的穩定性最佳化與 Bug 修復。
資安與合規性重大修正 (Security Fixes)
本次最核心的修復集中在資料隱私與服務可用性(Availability)上,我們實裝在系統中逐步來檢視。
伺服器日誌不再洩漏 PII (個人識別資訊)
這次影響到的模組為 RedisTimeSeries, RedisJSON, 在先前的版本中,特定情況下伺服器日誌 (Server Log) 可能會意外記錄到敏感的個人識別資訊 (Personally Identifiable Information, PII),新版就修正了。
CyberQ 認為,這對於遵循 GDPR、CCPA 或相關資安合規標準(如 ISO 27001)的日常是需要的。日誌通常被視為低敏感度資料而被廣泛收集(如傳送到 ELK Stack 或 Splunk),若日誌中夾帶 PII,將導致嚴重的合規漏洞與資料洩漏風險,此更新復強烈建議重視合規的企業立即採用。
修正 RDB 載入時的 DoS 風險
影響模組是 RedisBloom (Cuckoo filter & Bloom filter),原先當 Cuckoo filter 載入含有 0 buckets 的 RDB 檔案時會當掉。而 Bloom filter 載入包含大量過濾器的 RDB 檔案時也是,目前這個版本已經把這個 bug 修掉了。
CyberQ 認為,這類崩潰問題若被攻擊者利用(例如惡意構造特定的 RDB 結構或觸發特定邊界條件),可能演變成阻斷服務攻擊 (DoS),導致資料庫重啟失敗或持續當機。
RediSearch 的大量 Bug 修復與穩定性提升
RediSearch 是本次更新的重頭戲,官方修復了數十個 Bug,主要集中在叢集 (Cluster) 支援、記憶體管理與 併發處理:
叢集穩定性有所提升,修復了 FT.INFO 命令在副本 (Replicas) 上不必要的廣播以減少流量,並解決了多項在 Cluster 模式下的路由與游標 (Cursor) 處理問題。
記憶體洩漏與 OOM 部分,修正了 FT.HYBRID 查詢在 Active-Active 架構下的記憶體洩漏,以及FT.AGGREGATE 導致的資源耗盡與游標邏輯洩漏。
現在當記憶體接近極限時,FT.AGGREGATE 會正確顯示 OOM (Out of Memory) 警告,而非直接崩潰或行為異常。
資料準確性則修正了 BM25 評分演算法的下溢 (Underflow) 問題,以及空字串 token 計數錯誤,確保全文檢索的評分與位置追蹤更精確。
效能最佳化與可觀測性
對於維運大規模 Redis 叢集的團隊,8.4.1 帶來了顯著的效能與監控改善:
首先是向量搜尋 (Vector Search)方面的效能改進, 針對向量搜尋進行了多項底層效能最佳化,並引入了異步工作執行緒 (Asynchronous worker threads) 來處理垃圾回收 (GC) 與其他任務,減少對主執行緒的阻塞。
Atomic Slot Migration 的部分,則最佳化了原子槽遷移的行為,支援在遷移完成後延遲修剪 (trimming) slot,這對於動態擴縮容的穩定性有很大幫助。
另外,在指標 (Metrics) 環節,為了讓 SRE 與 DBA 更容易除錯,RediSearch 新增了大量細粒度的監控指標,可以直接透過 INFO 指令獲取:
執行緒監控: 新增 active_io_threads, active_coord_threads, active_worker_threads 等指標,清楚掌握搜尋引擎內部的執行緒負載。
錯誤追蹤: 現在可以追蹤 OOM 錯誤、Timeout 錯誤以及語法錯誤的計數。
Profile 增強: FT.PROFILE 命令現在包含更詳細的向量搜尋執行細節與 Shard ID,便於效能調校。
建議儘早將更新納入排程
對於資安合規顧問與工程師,CyberQ 強烈建議檢查目前的 RedisJSON 與 RedisTimeSeries 部署。如果系統中會處理用戶敏感資料,且有將 Redis Log 導出至第三方監控平台的習慣,請務必優先升級此版本,以消除 PII 外洩的合規隱憂。
對於 AI 工具開發者呢,如果有依賴使用 RediSearch 進行 RAG (Retrieval-Augmented Generation) 或向量檢索,本次針對 Vector Search 的效能最佳化與 FT.PROFILE 的增強,將能協助我們更好地診斷檢索延遲問題。
鑑於本次包含明確的 SECURITY 標籤與防止崩潰的修正,建議所有生產環境(尤其是使用 Modules 的環境)盡快安排在測試環境驗證後進行升級。
首圖由 Nano Banana AI 生成
