大数据OLAP数据库 ClickHouse 曝高危漏洞 能远程代码执行
发布时间:2022-03-21 19:19:20 所属栏目:动态 来源:互联网
导读:最近的网络安全研究发现,开源数据库管理系统 ClickHouse 中曝出 7 个新的安全漏洞,这些漏洞可以被武器化用于攻击服务器,使服务器崩溃、泄漏内存内容,甚至导致执行任意代码。 根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,这些漏洞的利用需要身份
|
最近的网络安全研究发现,开源数据库管理系统 ClickHouse 中曝出 7 个新的安全漏洞,这些漏洞可以被武器化用于攻击服务器,使服务器崩溃、泄漏内存内容,甚至导致执行任意代码。 根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,这些漏洞的利用需要身份验证,但可以由任何具有读取权限的用户触发。这意味着攻击者需要先对特定的 ClickHouse 服务器目标执行侦察以获得用户登录凭据。任何用户的凭据都可以,因为即使是具有最低权限的用户也可以触发这些漏洞。 这 7 个安全漏洞列表如下: CVE-2021-43304 和 CVE-2021-43305(CVSS 评分:8.8)– LZ4 压缩编解码器中的堆缓冲区溢出缺陷,可能导致远程代码执行。 CVE-2021-42387 和 CVE-2021-42388(CVSS 评分:7.1)– LZ4 压缩编解码器中的堆越界读取缺陷,可能导致拒绝服务或信息泄漏。 CVE-2021-42389(CVSS 评分:6.5)– Delta 压缩编解码器中的除零缺陷,可能导致拒绝服务情况。 CVE-2021-42390(CVSS 评分:6.5)– DeltaDouble 压缩编解码器中的除零缺陷,可能导致拒绝服务情况。 CVE-2021-42391(CVSS 评分:6.5)– Gorilla 压缩编解码器中的除零缺陷,可能导致拒绝服务情况。 攻击者可以通过使用特制的压缩文件使易受攻击的数据库服务器崩溃,从而利用上述任意安全漏洞。建议 ClickHouse 用户尽快升级到 v21.10.2.15-stable 或更高版本以缓解漏洞的影响。 一个月前,安全研究人员披露了 Apache Cassandra 中的一个高严重性安全漏洞(CVE-2021-44521,CVSS 评分:8.4)的详细信息,如果不加以解决,可能会被滥用以获得受影响的远程代码执行 (RCE) 的详细信息。 (编辑:永州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 微软Win11笔记本Surface Book 3恢复推荐存储驱动固件更新
- 千兆网口+自研芯片 中兴 AX3000 巡天版路由器236元寻底
- RTX 4090功耗可解锁600W!然而没啥用
- 这条朋友圈广告,火得有原因!
- 英特尔 i7-13700K 现身 16 核 24 线程 5.3GHz
- 七彩虹 GTX 1630 显卡外观曝光 额外 6-pin 供电
- 英特尔国产系统已组建IntelArchSIG协助欧拉开源系统进一步完
- 英伟达上线RTX 3080 12GB 显卡,售价约 9000 元起
- ofo子公司进行注销备案:成立于2017年5月,注册资本100万
- 大疆DJI Mini3Pro无人机曝光 配备多个避障传感器电池更大
站长推荐