首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】ClickHouse DBMS 3月多个安全漏洞

发布时间 2022-03-17


0x00 漏洞概述

2022年3月15日,JFrog 安全研究团队披露了在ClickHouse DBMS 中发现的 7 个 RCE 和 DoS 漏洞,这些漏洞能够导致ClickHouse 服务器崩溃、信息泄露甚至导致远程代码执行 (RCE)。


0x01 漏洞详情

ClickHouse是一个广泛使用的、用于在线分析处理 (OLAP)的开源列式数据库管理系统(DBMS),可以实时生成分析数据报告。

研究人员本次披露的7个漏洞如下:

l  CVE-2021-43304:解析恶意查询时 LZ4 压缩编解码器中的堆缓冲区溢出(RCE),CVSS评分为8.8。

l  CVE-2021-43305:解析恶意查询时 LZ4 压缩编解码器中的堆缓冲区溢出(RCE),CVSS评分为8.8。

l  CVE-2021-42387:解析恶意查询时在 LZ4 压缩编解码器中读取的堆越界(拒绝服务或信息泄露),CVSS评分为7.1。

l  CVE-2021-42388:解析恶意查询时在 LZ4 压缩编解码器中读取的堆越界(拒绝服务或信息泄露),CVSS评分为7.1。

l  CVE-2021-42389:解析恶意查询时在 Delta 压缩编解码器中的除零漏洞(拒绝服务),CVSS评分为6.5。

l  CVE-2021-42390:解析恶意查询时在 DeltaDouble 压缩编解码器中的除零漏洞(拒绝服务),CVSS评分为6.5。

l  CVE-2021-42391:解析恶意查询时在 Gorilla 压缩编解码器中的除零漏洞(拒绝服务),CVSS评分为6.5。

研究人员表示,利用这些漏洞需要身份验证,但可以由任何具有读取权限的用户触发。

 

影响范围

ClickHouse版本 < v21.10.2.15-stable

 

0x02 处置建议

目前这些漏洞已经修复,受影响用户可以升级更新到ClickHouse v21.10.2.15-stable版本或更高版本。

下载链接:

https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable

缓解措施:

如果无法升级,请在服务器中添加防火墙规则,限制只允许特定客户端访问web端口(8123)和TCP服务器端口(9000)。

 

0x03 参考链接

https://jfrog.com/blog/7-rce-and-dos-vulnerabilities-found-in-clickhouse-dbms/

https://github.com/ClickHouse/ClickHouse

https://thehackernews.com/2022/03/multiple-flaws-uncovered-in-clickhouse.html

 

0x04 更新版本

版本

日期

修改内容

V1.0

2022-03-17

首次发布

 

0x05 附录

公司简介

启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

 

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号,获取全球最新安全资讯:

image.png

上一篇 下一篇