ClickHouse DBMS 3月多个安全漏洞

2022年3月15日，JFrog 安全研究团队披露了在ClickHouse DBMS 中发现的 7 个 RCE 和 DoS 漏洞，这些漏洞能够导致ClickHouse 服务器崩溃、信息泄露甚至导致远程代码执行 (RCE)。

本次披露的7个漏洞如下：
CVE-2021-43304：解析恶意查询时 LZ4 压缩编解码器中的堆缓冲区溢出（RCE），CVSS评分为8.8。
CVE-2021-43305：解析恶意查询时 LZ4 压缩编解码器中的堆缓冲区溢出（RCE），CVSS评分为8.8。
CVE-2021-42387：解析恶意查询时在 LZ4 压缩编解码器中读取的堆越界（拒绝服务或信息泄露），CVSS评分为7.1。
CVE-2021-42388：解析恶意查询时在 LZ4 压缩编解码器中读取的堆越界（拒绝服务或信息泄露），CVSS评分为7.1。
CVE-2021-42389：解析恶意查询时在 Delta 压缩编解码器中的除零漏洞（拒绝服务），CVSS评分为6.5。
CVE-2021-42390：解析恶意查询时在 DeltaDouble 压缩编解码器中的除零漏洞（拒绝服务），CVSS评分为6.5。
CVE-2021-42391：解析恶意查询时在 Gorilla 压缩编解码器中的除零漏洞（拒绝服务），CVSS评分为6.5。
利用这些漏洞需要身份验证，但可以由任何具有读取权限的用户触发。

影响版本：ClickHouse版本 < v21.10.2.15-stable

  高危

目前这些漏洞已经修复，受影响用户可以升级更新到ClickHouse v21.10.2.15-stable版本或更高版本。
下载链接:
https://github.com/ClickHouse/ClickHouse/releases/tag/v21.10.2.15-stable
缓解措施:如果无法升级，请在服务器中添加防火墙规则，限制只允许特定客户端访问web端口（8123）和TCP服务器端口（9000）。