PT-2024-37919 · Unknown+1 · Clickhouse
Malacupa
·
Publicado
2024-08-01
·
Atualizado
2024-08-13
·
CVE-2024-6873
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do ClickHouse anteriores à versão mais recente suportada
Descrição
É possível causar uma falha ou redirecionar o fluxo de execução do processo do servidor ClickHouse a partir de um vetor não autenticado, enviando uma solicitação especialmente criada para a interface nativa do servidor ClickHouse. Esse redirecionamento é limitado ao que está disponível em um intervalo de 256 bytes de memória no momento da execução, e nenhum código de execução remota de código (RCE) conhecido foi produzido ou explorado.
Recomendações
Correções foram incorporadas a todas as versões atualmente suportadas do ClickHouse. Se você mantém sua própria versão bifurcada do ClickHouse ou usa uma versão mais antiga e não pode atualizar, a correção para esta vulnerabilidade pode ser encontrada no commit https://github.com/ClickHouse/ClickHouse/pull/64024. Como solução alternativa temporária, considere restringir o acesso à interface nativa do servidor ClickHouse até que um patch seja aplicado.
Correção
RCE
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clickhouse