ClickHouse OLAP大數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)發(fā)現(xiàn)多個(gè)安全漏洞

研究人員在名為ClickHouse的開源數(shù)據(jù)庫(kù)管理系統(tǒng)解決方案中披露了7個(gè)新的安全漏洞，這些漏洞可能被利用，導(dǎo)致服務(wù)器崩潰、內(nèi)存內(nèi)容泄露，甚至導(dǎo)致任意代碼的執(zhí)行。

ClickHouse是一個(gè)用于聯(lián)機(jī)分析(OLAP)的列式數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)，主要用于在線分析處理查詢(OLAP)，能夠使用SQL查詢實(shí)時(shí)生成分析數(shù)據(jù)報(bào)告。

JFrog的研究人員Uriya Yavnieli和Or Peles在一份報(bào)告中稱:，這些漏洞需要身份驗(yàn)證，但可以由任何具有讀取權(quán)限的用戶觸發(fā)。

這意味著攻擊者需要對(duì)特定的ClickHouse服務(wù)器目標(biāo)進(jìn)行偵察以獲得有效憑據(jù)。需要注意的是任何一組憑據(jù)都可以，因?yàn)榧词箵碛凶畹蜋?quán)限的用戶也可以觸發(fā)所有漏洞。

這7個(gè)缺陷漏洞是：

CVE-2021-43304和CVE-2021-43305(CVSS 分?jǐn)?shù)：8.8)——LZ4壓縮編解碼器中的堆緩沖區(qū)溢出缺陷，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行

CVE-2021-42387和CVE-2021-42388(CVSS 分?jǐn)?shù)：7.1) – LZ4壓縮編解碼器中的堆越界讀取缺陷，可能導(dǎo)致拒絕服務(wù)或信息泄漏

CVE-2021-42389(CVSS分?jǐn)?shù)：6.5)– Delta壓縮編解碼器中的除零缺陷，可能導(dǎo)致拒絕服務(wù)情況

CVE-2021-42390(CVSS得分：6.5)——DeltaDouble壓縮編解碼器中的除零缺陷，可能導(dǎo)致拒絕服務(wù)情況

CVE-2021-42391(CVSS分?jǐn)?shù)：6.5)——Gorilla壓縮編解碼器中的除零缺陷，可能導(dǎo)致拒絕服務(wù)情況。

攻擊者可以通過使用特制的壓縮文件使易受攻擊的數(shù)據(jù)庫(kù)服務(wù)器崩潰，從而利用上述任何缺陷。建議ClickHouse用戶升級(jí)到“ v21.10.2.15-stable”或更高版本以緩解問題。

產(chǎn)生、存儲(chǔ)、使用“數(shù)據(jù)”的主體，均為軟件，保障數(shù)據(jù)安全的第一步是保障軟件自身的安全。網(wǎng)絡(luò)安全人員建議企業(yè)首先要清楚地了解自身軟件情況，包括他們自身開發(fā)的軟件和來自軟件供應(yīng)商的部分。如在開發(fā)軟件期間使用安全可信的靜態(tài)代碼檢測(cè)工具，幫助開發(fā)人員減少30%-70%的安全漏洞，有效提高軟件自身安全。為數(shù)據(jù)存儲(chǔ)和備份建立安全基線，確保數(shù)據(jù)存儲(chǔ)軟件安全是整個(gè)企業(yè)事件響應(yīng)計(jì)劃的重要一部分。

企業(yè)需要從現(xiàn)在開始更加關(guān)注數(shù)據(jù)存儲(chǔ)和備份的軟件安全性，如果此時(shí)還沒有安全意識(shí)，企業(yè)的網(wǎng)絡(luò)環(huán)境將更容易受到以數(shù)據(jù)為中心的攻擊，如勒索軟件攻擊，并且削弱企業(yè)網(wǎng)絡(luò)系統(tǒng)的恢復(fù)能力。