PT-2021-6324 · Unknown+4 · Clickhouse+3

Or Peles

+1

·

Publicado

2021-10-18

·

Atualizado

2024-07-31

·

CVE-2021-43305

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
ClickHouse (versões afetadas não especificadas)
Descrição
O problema está relacionado a um estouro de buffer de heap no codec de compressão LZ4 do ClickHouse. Isso ocorre ao analisar uma consulta maliciosa, pois não há verificação de que as operações de cópia no loop LZ4::decompressImpl não excedam os limites do buffer de destino. A operação de cópia vulnerável está em uma chamada wildCopy diferente, tornando-a semelhante a um problema identificado anteriormente.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Heap Based Buffer Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122CWE-787

Identificadores relacionados

ALT-PU-2022-1418
ALT-PU-2022-1601
ALT-PU-2022-1682
BDU:2022-01317
CVE-2021-43305
DLA-3176-1
USN-6933-1

Produtos afetados

Alt Linux
Clickhouse
Linuxmint
Ubuntu