ClickHouse OLAP大資料資料庫系統發現多個安全漏洞

研究人員在名為ClickHouse的開源資料庫管理系統解決方案中披露了7個新的安全漏洞，這些漏洞可能被利用，導致伺服器崩潰、記憶體內容洩露，甚至導致任意程式碼的執行。

ClickHouse是一個用於聯機分析(OLAP)的列式資料庫管理系統(DBMS)，主要用於線上分析處理查詢(OLAP)，能夠使用SQL查詢實時生成分析資料包告。

JFrog的研究人員Uriya Yavnieli和Or Peles在一份報告中稱:，這些漏洞需要身份驗證，但可以由任何具有讀取許可權的使用者觸發。

這意味著攻擊者需要對特定的ClickHouse伺服器目標進行偵察以獲得有效憑據。需要注意的是任何一組憑據都可以，因為即使擁有最低許可權的使用者也可以觸發所有漏洞。

這7個缺陷漏洞是：

CVE-2021-43304和CVE-2021-43305(CVSS 分數：8.8)——LZ4壓縮編解碼器中的堆緩衝區溢位缺陷，可能導致遠端程式碼執行

CVE-2021-42387和CVE-2021-42388(CVSS 分數：7.1) – LZ4壓縮編解碼器中的堆越界讀取缺陷，可能導致拒絕服務或資訊洩漏

CVE-2021-42389(CVSS分數：6.5)– Delta壓縮編解碼器中的除零缺陷，可能導致拒絕服務情況

CVE-2021-42390(CVSS得分：6.5)——DeltaDouble壓縮編解碼器中的除零缺陷，可能導致拒絕服務情況

CVE-2021-42391(CVSS分數：6.5)——Gorilla壓縮編解碼器中的除零缺陷，可能導致拒絕服務情況。

攻擊者可以透過使用特製的壓縮檔案使易受攻擊的資料庫伺服器崩潰，從而利用上述任何缺陷。建議ClickHouse使用者升級到“ v21.10.2.15-stable”或更高版本以緩解問題。

產生、儲存、使用“資料”的主體，均為軟體，保障資料安全的第一步是保障軟體自身的安全。網路安全人員建議企業首先要清楚地瞭解自身軟體情況，包括他們自身開發的軟體和來自軟體供應商的部分。如在開發軟體期間使用安全可信的 靜態程式碼檢測工具，幫助開發人員減少30%-70%的安全漏洞，有效提高軟體自身安全。為資料儲存和備份建立安全基線，確保資料儲存軟體安全是整個企業事件響應計劃的重要一部分。

企業需要從現在開始更加關注資料儲存和備份的軟體安全性，如果此時還沒有安全意識，企業的網路環境將更容易受到以資料為中心的攻擊，如勒索軟體攻擊，並且削弱企業網路系統的恢復能力。