PT-2021-23609 · Unknown+4 · Clickhouse+3
Or Peles
+1
·
Publicado
2021-10-18
·
Atualizado
2025-06-25
·
CVE-2021-42387
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
ClickHouse (versões afetadas não especificadas)
Descrição
Existe uma falha de leitura fora dos limites da pilha (heap out-of-bounds) no codec de compressão LZ4 do ClickHouse ao analisar uma consulta maliciosa. O loop
LZ4::decompressImpl() lê um valor de 16 bits sem sinal fornecido pelo usuário (offset) a partir dos dados compactados, que é posteriormente utilizado no comprimento de uma operação de cópia sem verificar os limites superiores da fonte da operação de cópia.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Clickhouse
Linuxmint
Ubuntu