ClickHouse OLAP大資料資料庫系統發現多個安全漏洞
研究人員在名為ClickHouse的開源資料庫管理系統解決方案中披露了7個新的安全漏洞,這些漏洞可能被利用,導致伺服器崩潰、記憶體內容洩露,甚至導致任意程式碼的執行。
ClickHouse是一個用於聯機分析(OLAP)的列式資料庫管理系統(DBMS),主要用於線上分析處理查詢(OLAP),能夠使用SQL查詢實時生成分析資料包告。
JFrog的研究人員Uriya Yavnieli和Or Peles在一份報告中稱:,這些漏洞需要身份驗證,但可以由任何具有讀取許可權的使用者觸發。
這意味著攻擊者需要對特定的ClickHouse伺服器目標進行偵察以獲得有效憑據。需要注意的是任何一組憑據都可以,因為即使擁有最低許可權的使用者也可以觸發所有漏洞。
這7個缺陷漏洞是:
CVE-2021-43304和CVE-2021-43305(CVSS 分數:8.8)——LZ4壓縮編解碼器中的堆緩衝區溢位缺陷,可能導致遠端程式碼執行
CVE-2021-42387和CVE-2021-42388(CVSS 分數:7.1) – LZ4壓縮編解碼器中的堆越界讀取缺陷,可能導致拒絕服務或資訊洩漏
CVE-2021-42389(CVSS分數:6.5)– Delta壓縮編解碼器中的除零缺陷,可能導致拒絕服務情況
CVE-2021-42390(CVSS得分:6.5)——DeltaDouble壓縮編解碼器中的除零缺陷,可能導致拒絕服務情況
CVE-2021-42391(CVSS分數:6.5)——Gorilla壓縮編解碼器中的除零缺陷,可能導致拒絕服務情況。
攻擊者可以透過使用特製的壓縮檔案使易受攻擊的資料庫伺服器崩潰,從而利用上述任何缺陷。建議ClickHouse使用者升級到“ v21.10.2.15-stable”或更高版本以緩解問題。
產生、儲存、使用“資料”的主體,均為軟體,保障資料安全的第一步是保障軟體自身的安全。網路安全人員建議企業首先要清楚地瞭解自身軟體情況,包括他們自身開發的軟體和來自軟體供應商的部分。如在開發軟體期間使用安全可信的 靜態程式碼檢測工具,幫助開發人員減少30%-70%的安全漏洞,有效提高軟體自身安全。為資料儲存和備份建立安全基線,確保資料儲存軟體安全是整個企業事件響應計劃的重要一部分。
企業需要從現在開始更加關注資料儲存和備份的軟體安全性,如果此時還沒有安全意識,企業的網路環境將更容易受到以資料為中心的攻擊,如勒索軟體攻擊,並且削弱企業網路系統的恢復能力。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2872399/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 大資料實時多維OLAP分析資料庫Apache Druid入門分享-上大資料資料庫ApacheUI
- 大資料實時多維OLAP分析資料庫Apache Druid入門分享-下大資料資料庫ApacheUI
- 數倉選型必列入考慮的OLAP列式資料庫ClickHouse(中)資料庫
- 數倉選型必列入考慮的OLAP列式資料庫ClickHouse(上)資料庫
- django使用多個資料庫實現Django資料庫
- 【資料庫系統】資料庫系統概論====第十三章 資料庫技術發展資料庫
- 教育大資料之資料開發系統大資料
- mybatis怎麼實現insert into多個資料-oracle資料庫MyBatisOracle資料庫
- 資料來源管理 | OLAP查詢引擎,ClickHouse叢集化管理
- 資料庫與資料庫管理系統概述資料庫
- ReplacingMergeTree:實現Clickhouse資料更新
- ClickHouse資料庫資料定義手記之資料型別資料庫資料型別
- 資料庫系統概述之國產資料庫資料庫
- 百分點大資料評測報告:開源OLAP引擎綜評(HAWQ、Presto、ClickHouse)大資料REST
- 資料庫系統概述資料庫
- 【資料庫資料恢復】linux系統下MYSQL資料庫資料恢復案例資料庫資料恢復LinuxMySql
- 資料庫系統概述之資料庫最佳化資料庫
- 阿里 Canal 實時同步 MySQL 增量資料至 ClickHouse 資料庫阿里MySql資料庫
- 大資料與資訊保安(六)天網系統與大資料 大資料大資料
- Redis多個資料庫的概念Redis資料庫
- Redis多機資料庫實現Redis資料庫
- 序列化,資料庫存多個欄位資料資料庫
- 資料庫圈周盤點:ClickHouse宣佈推出ClickHouse Cloud資料庫Cloud
- 教育大資料之資料資產管理系統大資料
- 【大資料】BigTable分散式資料儲存系統分散式資料庫 | 複習筆記大資料分散式資料庫筆記
- .NET 百萬級 大資料插入、更新 ,支援多種資料庫大資料資料庫
- 天雲資料:Hubble資料庫系統自主研發率99.62%,是真正的信創資料庫資料庫
- 大資料大屏系統模板大資料
- 大資料的系統學習:大資料學習的三個階段概述大資料
- Laravel 使用多個資料庫連線Laravel資料庫
- EF 中多個資料庫遷移資料庫
- clickhouse 同步mysql資料MySql
- ClickHouse資料副本引擎
- OLAP MPP分散式關係型資料庫的雙活容災系統的設計分散式資料庫
- 大資料測試與 傳統資料庫測試大資料資料庫
- 大資料4.2 -- hive資料庫大資料Hive資料庫
- HDFS+ClickHouse+Spark:從0到1實現一款輕量級大資料分析系統Spark大資料
- 【MySQL資料庫】認識資料庫+環境搭建--------Windows系統MySql資料庫Windows