PT-2021-6323 · Unknown+2 · Clickhouse+1
Or Peles
+1
·
Publicado
2021-10-18
·
Atualizado
2022-12-08
·
CVE-2021-43304
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
ClickHouse (versões afetadas não especificadas)
Descrição
O problema está relacionado a um estouro de buffer de heap no codec de compressão LZ4 do ClickHouse. Isso ocorre ao analisar uma consulta maliciosa, pois não há verificação de que as operações de cópia não excedam os limites do buffer de destino. Especificamente, a operação de cópia arbitrária no loop LZ4::decompressImpl pode levar a esse estouro. Um invasor poderia potencialmente explorar essa vulnerabilidade para executar código arbitrário remotamente.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Heap Based Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Clickhouse