首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】ClickHouse DBMS 3月多個安全漏洞

發布時間 2022-03-17


0x00 漏洞概述

2022年3月15日,JFrog 安全研究團隊披露了在ClickHouse DBMS 中發現的 7 個 RCE 和 DoS 漏洞,這些漏洞能夠導致ClickHouse 服務器崩潰、信息泄露甚至導致遠程代碼執行 (RCE)。


0x01 漏洞詳情

ClickHouse是一個廣泛使用的、用于在線分析處理 (OLAP)的開源列式數據庫管理系統(DBMS),可以實時生成分析數據報告。

研究人員本次披露的7個漏洞如下:

l  CVE-2021-43304:解析惡意查詢時 LZ4 壓縮編解碼器中的堆緩沖區溢出(RCE),CVSS評分為8.8。

l  CVE-2021-43305:解析惡意查詢時 LZ4 壓縮編解碼器中的堆緩沖區溢出(RCE),CVSS評分為8.8。

l  CVE-2021-42387:解析惡意查詢時在 LZ4 壓縮編解碼器中讀取的堆越界(拒絕服務或信息泄露),CVSS評分為7.1。

l  CVE-2021-42388:解析惡意查詢時在 LZ4 壓縮編解碼器中讀取的堆越界(拒絕服務或信息泄露),CVSS評分為7.1。

l  CVE-2021-42389:解析惡意查詢時在 Delta 壓縮編解碼器中的除零漏洞(拒絕服務),CVSS評分為6.5。

l  CVE-2021-42390:解析惡意查詢時在 DeltaDouble 壓縮編解碼器中的除零漏洞(拒絕服務),CVSS評分為6.5。

l  CVE-2021-42391:解析惡意查詢時在 Gorilla 壓縮編解碼器中的除零漏洞(拒絕服務),CVSS評分為6.5。

研究人員表示,利用這些漏洞需要身份驗證,但可以由任何具有讀取權限的用戶觸發。

 

影響范圍

ClickHouse版本 < v21.10.2.15-stable

 

0x02 處置建議

目前這些漏洞已經修復,受影響用戶可以升級更新到ClickHouse v21.10.2.15-stable版本或更高版本。

下載鏈接:

https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable

緩解措施:

如果無法升級,請在服務器中添加防火墻規則,限制只允許特定客戶端訪問web端口(8123)和TCP服務器端口(9000)。

 

0x03 參考鏈接

https://jfrog.com/blog/7-rce-and-dos-vulnerabilities-found-in-clickhouse-dbms/

https://github.com/ClickHouse/ClickHouse

https://thehackernews.com/2022/03/multiple-flaws-uncovered-in-clickhouse.html

 

0x04 更新版本

版本

日期

修改內容

V1.0

2022-03-17

首次發布

 

0x05 附錄

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設有分支機構,擁有覆蓋全國的渠道體系和技術支持中心,并在北京、上海、成都、廣州、長沙、杭州等多地設有研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇