ГлавнаяБаза уязвимостей БДУ → BDU:2022-01316
10критическая

BDU:2022-01316

Уязвимость кодека сжатия LZ4 системы управления базами данных ClickHouse OLAP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-03-18
Описание

Уязвимость кодека сжатия LZ4 системы управления базами данных ClickHouse OLAP связана с возможностью переполнения буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
ClickHouse (до 21.10.2.15)
Способ устранения

Компенсирующие меры:
- ограничить доступ к веб-порту (8123) и порту TCP-сервера (9000);
- использование межсетевого экрана для фильтрации запросов.

Информация производителя:
https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://jfrog.com/blog/7-rce-and-dos-vulnerabilities-found-in-clickhouse-dbms/https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable
Проверьте безопасность своего сайта и почты → Полная проверка домена