关键漏洞信息 7 RCE and DoS Vulnerabilities Found in ClickHouse DBMS 日期: March 15, 2022 作者: Oriya Yavniveli, JFrog Security Research Team Leader 漏洞详情 CVE-2021-43304 和 CVE-2021-43305: LZ4 压缩解码中的堆缓冲区溢出漏洞。 CVE-2021-42387 和 CVE-2021-42388: LZ4 历桶解码中的堆越界读取漏洞。 CVE-2021-42389: Delta 压缩解码中的除零漏洞。 CVE-2021-42390: DeltaDouble 压缩解码中的除零漏洞。 CVE-2021-42391: Gorilla 压缩解码中的除零漏洞。 漏洞影响 技术背景 ClickHouse 服务器允许用户压缩查询。 漏洞利用 CVE-2021-43304: 堆缓冲区溢出漏洞利用。 CVE-2021-42388 和 CVE-2021-42387: 堆越界读取漏洞利用。 CVE-2021-42389、CVE-2021-42390 和 CVE-2021-42391: 除零漏洞利用。 修复和缓解措施 更新 ClickHouse 到 v21.10.2.15-stable 版本或更高版本。 如果无法升级,添加防火墙规则限制对 8123 和 9000 端口的访问。 结论 JFrog 产品本身不受此漏洞影响,因为它们不使用 ClickHouse 数据库。