ClickHouse OLAP大数据数据库系统发现多个安全漏洞

研究人员在名为ClickHouse的开源数据库管理系统解决方案中披露了7个新的安全漏洞，这些漏洞可能被利用，导致服务器崩溃、内存内容泄露，甚至导致任意代码的执行。

ClickHouse是一个用于联机分析(OLAP)的列式数据库管理系统(DBMS)，主要用于在线分析处理查询(OLAP)，能够使用SQL查询实时生成分析数据报告。

JFrog的研究人员Uriya Yavnieli和Or Peles在一份报告中称:，这些漏洞需要身份验证，但可以由任何具有读取权限的用户触发。

这意味着攻击者需要对特定的ClickHouse服务器目标进行侦察以获得有效凭据。需要注意的是任何一组凭据都可以，因为即使拥有最低权限的用户也可以触发所有漏洞。

这7个缺陷漏洞是：

CVE-2021-43304和CVE-2021-43305(CVSS 分数：8.8)——LZ4压缩编解码器中的堆缓冲区溢出缺陷，可能导致远程代码执行

CVE-2021-42387和CVE-2021-42388(CVSS 分数：7.1) – LZ4压缩编解码器中的堆越界读取缺陷，可能导致拒绝服务或信息泄漏

CVE-2021-42389(CVSS分数：6.5)– Delta压缩编解码器中的除零缺陷，可能导致拒绝服务情况

CVE-2021-42390(CVSS得分：6.5)——DeltaDouble压缩编解码器中的除零缺陷，可能导致拒绝服务情况

CVE-2021-42391(CVSS分数：6.5)——Gorilla压缩编解码器中的除零缺陷，可能导致拒绝服务情况。

攻击者可以通过使用特制的压缩文件使易受攻击的数据库服务器崩溃，从而利用上述任何缺陷。建议ClickHouse用户升级到“ v21.10.2.15-stable”或更高版本以缓解问题。

产生、存储、使用“数据”的主体，均为软件，保障数据安全的第一步是保障软件自身的安全。网络安全人员建议企业首先要清楚地了解自身软件情况，包括他们自身开发的软件和来自软件供应商的部分。如在开发软件期间使用安全可信的静态代码检测工具，帮助开发人员减少30%-70%的安全漏洞，有效提高软件自身安全。为数据存储和备份建立安全基线，确保数据存储软件安全是整个企业事件响应计划的重要一部分。

企业需要从现在开始更加关注数据存储和备份的软件安全性，如果此时还没有安全意识，企业的网络环境将更容易受到以数据为中心的攻击，如勒索软件攻击，并且削弱企业网络系统的恢复能力。