Уязвимость BDU:2022-01317

Идентификатор: BDU:2022-01317.

Наименование уязвимости: Уязвимость кодека сжатия LZ4 системы управления базами данных ClickHouse OLAP, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость кодека сжатия LZ4 системы управления базами данных ClickHouse OLAP связана с возможностью переполнения буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: СУБД, ПО для разработки ИИ ClickHouse, Inc. ClickHouse до 21.10.2.15 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Компенсирующие меры:
— ограничить доступ к веб-порту (8123) и порту TCP-сервера (9000);
— использование межсетевого экрана для фильтрации запросов.

Информация производителя:
https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-43305.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://jfrog.com/blog/7-rce-and-dos-vulnerabilities-found-in-clickhouse-dbms/
https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable