一、概要
近日,基调听云关注到ClickHouse存在堆缓冲区溢出问题。攻击者不需要身份凭证可以向默认情况下在9000/tcp端口上公开的本地接口发送一个特制的有效载荷,触发T64编解码器解压逻辑中的错误,导致ClickHouse服务器进程崩溃。攻击者在拥有有效凭据的前提下也可以通过HTTP协议触发。
参考链接:https://nvd.nist.gov/vuln/detail/CVE-2023-47118
二、威胁级别
威胁级别:【严重】
三、CVSS评分
https://nvd.nist.gov/vuln/detail/CVE-2023-47118 9.8(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
四、漏洞影响范围
影响版本:
安全版本:
ClickHouse 23.10.2.13-stable, 23.9.4.11-stable, 23.8.6.16-lts and 23.3.16.7-lts
五、漏洞排查及处置
目前,基调听云已发布新补丁修复了该漏洞,请受影响的用户联系相应的技术支持升级到安全版本。