PT-2021-23610 · Unknown+4 · Clickhouse+3

Or Peles

+1

·

Publicado

2021-10-18

·

Atualizado

2025-06-25

·

CVE-2021-42388

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
ClickHouse (versões afetadas não especificadas)
Descrição
Existe uma falha de leitura fora dos limites da pilha no codec de compressão LZ4 do ClickHouse ao analisar uma consulta maliciosa. O loop LZ4::decompressImpl() lê um valor de 16 bits sem sinal fornecido pelo usuário (offset) a partir dos dados compactados. Esse offset é posteriormente utilizado no comprimento de uma operação de cópia sem verificar os limites inferiores da fonte da operação de cópia.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALT-PU-2022-1418
ALT-PU-2022-1601
ALT-PU-2022-1682
CVE-2021-42388
DLA-3176-1
USN-6933-1

Produtos afetados

Alt Linux
Clickhouse
Linuxmint
Ubuntu