Forscher haben sieben neue Sicherheitslücken in einer Open-Source-Datenbankmanagementlösung namens ClickHouse aufgedeckt, die zum Absturz von Servern, zum Auslaufen von Speicherinhalten und sogar zur Ausführung von beliebigem Code führen können.
„Die Schwachstellen erfordern eine Authentifizierung, können aber von jedem Benutzer mit Leserechten ausgelöst werden“, so Uriya Yavnieli und Or Peles, Forscher des DevSecOps-Unternehmens JFrog, in einem am Dienstag veröffentlichten Bericht.
„Das bedeutet, dass der Angreifer das Ziel des ClickHouse-Servers auskundschaften muss, um gültige Anmeldedaten zu erhalten. Jeder beliebige Satz von Anmeldedaten würde ausreichen, da selbst ein Benutzer mit den niedrigsten Privilegien alle Schwachstellen auslösen kann.“
Die Liste der sieben Schwachstellen findest du unten –
CVE-2021-43304 und CVE-2021-43305 (CVSS-Scores: 8.8) – Heap-Pufferüberlauf im LZ4-Komprimierungscodec, der zur Remotecodeausführung führen kann
(CVE-2021-42387 und CVE-2021-42388 (CVSS-Scores: 7.1) – Heap-Out-of-Bounds-Read-Fehler im LZ4-Komprimierungscodec, die zu Denial-of-Service oder Informationslecks führen können
(CVSS-Score: 7.1) – Heap-out-of-bounds-Read-Fehler im LZ4-Komprimierungscodec, der zu Denial-of-Service oder Informationslecks führen kann CVE-2021-42389 (CVSS-Score: 6.5) – Ein Divide-by-Zero-Fehler im Delta-Komprimierungscodec, der zu einer Denial-of-Service-Bedingung führen kann
CVE-2021-42390 (CVSS score: 6.5) – Ein durch Null teilbarer Fehler im Delta-Kompressionscodec, der zu einer Denial-of-Service-Situation führen kann CVE-2021-42390 (CVSS score: 6.5) – Ein durch Null teilbarer Fehler im DeltaDouble-Kompressionscodec, der zu einer Denial-of-Service-Situation führen kann
(CVSS score: 6.5) – Eine durch Null teilbare Schwachstelle im DeltaDouble-Kompressionscodec, die zu einer Denial-of-Service-Bedingung führen könnte CVE-2021-42391 (CVSS score: 6.5) – Eine durch Null teilbare Schwachstelle im Gorilla-Kompressionscodec, die zu einer Denial-of-Service-Bedingung führen könnte
Ein Angreifer kann eine der oben genannten Schwachstellen ausnutzen, indem er eine speziell gestaltete komprimierte Datei verwendet, um einen verwundbaren Datenbankserver zum Absturz zu bringen. ClickHouse-Nutzern wird empfohlen, auf die Version „v21.10.2.15-stable“ oder höher zu aktualisieren, um die Probleme zu beheben.
Die Entdeckungen kommen einen Monat, nachdem JFrog Details zu einer hochgradigen Sicherheitslücke in Apache Cassandra (CVE-2021-44521, CVSS-Score: 8.4) bekannt gegeben hat, die, wenn sie nicht behoben wird, dazu missbraucht werden könnte, Remote Code Execution (RCE) auf betroffenen Installationen zu erlangen.