Pika项目中Redis键空间扫描的内存边界问题分析与修复

在开源数据库项目Pika的最新版本4.0.0中，开发团队发现了一个严重的内存边界问题，该问题在执行dbsize命令或info keyspace命令时会导致进程崩溃。本文将从技术角度深入分析这个问题的成因、影响范围以及修复方案。

问题现象

当用户在macOS环境下执行数据库状态查询命令时，Pika服务进程会意外崩溃，并产生如下关键错误信息：

ERROR: AddressSanitizer: heap-buffer-overflow on address 0x60e000030040
WRITE of size 8 at 0x60e000030040 thread T109
#0 in storage::Redis::ScanStreamsKeyNum(storage::KeyInfo*) redis_streams.cc:358

错误日志明确指出，这是一个堆缓冲区溢出（heap-buffer-overflow）问题，发生在redis_streams.cc文件的第358行，当尝试向内存地址0x60e000030040写入8字节数据时，超出了分配的160字节内存区域。

技术背景

在Redis/Pika架构中，info keyspace和dbsize命令需要统计数据库中各种数据类型（字符串、哈希、列表、集合、有序集合和流）的键数量。这一功能通过ScanKeyNum函数实现，它会分别调用各数据类型的专用扫描函数。

问题根源分析

通过分析调用栈和源代码，发现问题出在redis.cc文件的ScanKeyNum函数中：

Status Redis::ScanKeyNum(std::vector<KeyInfo>* key_infos) {
  key_infos->resize(5);
  // ...其他扫描调用...
  s = ScanStreamsKeyNum(&((*key_infos)[5]));
  // ...
}

这里存在两个关键问题：

1. 内存分配不足：resize(5)只分配了5个KeyInfo元素的空间，但后续却尝试访问第6个元素（索引为5）。

2. 逻辑错误：代码试图扫描6种数据类型（字符串、哈希、列表、有序集合、集合和流），但只预留了5个元素的空间。

这种不一致导致当访问第6个元素时，发生了内存越界写入，触发了地址消毒工具（AddressSanitizer）的检测机制。

影响评估

该问题具有以下特点：

1. 平台相关性：在macOS环境下更容易复现，但理论上所有平台都存在风险。

2. 命令触发：影响info keyspace和dbsize等关键统计命令。

3. 严重性：属于内存安全问题，可能导致服务崩溃或数据损坏。

修复方案

开发团队提出了两种修复思路：

1. 调整容器大小：将resize(5)改为resize(6)，确保容器有足够空间存储所有数据类型的统计信息。

2. 移除多余扫描：如果流数据类型不需要单独统计，可以移除ScanStreamsKeyNum调用。

经过评估，团队采用了第一种方案，因为它：

• 保持功能完整性
• 修复直接彻底
• 符合设计初衷

修复后的代码如下：

Status Redis::ScanKeyNum(std::vector<KeyInfo>* key_infos) {
  key_infos->resize(6);  // 确保有足够空间存储所有数据类型统计
  // ...保持原有扫描调用...
}

验证与测试

修复后进行了以下验证：

1. 单元测试：确保所有键空间统计功能正常工作。

2. 压力测试：验证在大数据量下不会出现内存问题。

3. 跨平台测试：特别关注macOS环境下的稳定性。

测试结果表明，修复方案有效解决了内存边界问题，同时保持了功能的正确性。

经验总结

这个案例为我们提供了几个重要的经验教训：

1. 容器操作要谨慎：使用resize、push_back等容器操作时，必须确保后续访问不会越界。

2. 防御性编程：在访问容器元素前，应该检查索引的有效性。

3. 工具价值：地址消毒工具（ASan）等内存检测工具在发现潜在问题方面具有不可替代的价值。

4. 代码审查重点：对于涉及内存操作的代码，需要特别关注大小匹配问题。

这个问题的发现和修复过程展示了开源社区协作的力量，也提醒开发者在处理内存相关操作时需要格外小心。