Les chercheurs ont révélé sept nouvelles vulnérabilités de sécurité dans une solution de système de gestion de base de données open source appelée ClickHouse qui pourraient être militarisés pour planter les serveurs, divulguer le contenu de la mémoire et même conduire à l’exécution de code arbitraire.
« Les vulnérabilités nécessitent une authentification, mais peuvent être déclenchées par n’importe quel utilisateur disposant d’autorisations de lecture », ont déclaré Uriya Yavnieli et Or Peles, chercheurs de la société DevSecOps JFrog. mentionné dans un rapport publié mardi.
« Cela signifie que l’attaquant doit effectuer une reconnaissance sur la cible spécifique du serveur ClickHouse pour obtenir des informations d’identification valides. N’importe quel ensemble d’informations d’identification ferait l’affaire, car même un utilisateur disposant des privilèges les plus bas peut déclencher toutes les vulnérabilités. »
La liste des sept défauts est ci-dessous –
- CVE-2021-43304 et CVE-2021-43305 (Scores CVSS : 8,8) – Défauts de dépassement de mémoire tampon dans le codec de compression LZ4 pouvant entraîner l’exécution de code à distance
- CVE-2021-42387 et CVE-2021-42388 (Scores CVSS : 7,1) – Tas de défauts de lecture hors limites dans le codec de compression LZ4 pouvant entraîner un déni de service ou une fuite d’informations
- CVE-2021-42389 (Score CVSS : 6,5) – Un défaut de division par zéro dans le codec de compression Delta qui pourrait entraîner une condition de déni de service
- CVE-2021-42390 (Score CVSS : 6,5) – Un défaut de division par zéro dans le codec de compression DeltaDouble qui pourrait entraîner une condition de déni de service
- CVE-2021-42391 (Score CVSS : 6,5) – Un défaut de division par zéro dans le codec de compression Gorilla qui pourrait entraîner une condition de déni de service
Un attaquant peut profiter de l’une des failles susmentionnées en utilisant un fichier compressé spécialement conçu pour planter un serveur de base de données vulnérable. Il est recommandé aux utilisateurs de ClickHouse de passer à la version « v21.10.2.15-stable » ou plus tard pour atténuer les problèmes.
Les résultats surviennent un mois après que JFrog a divulgué les détails d’une vulnérabilité de sécurité de haute gravité dans Apache Cassandra (CVE-2021-44521, score CVSS : 8,4) qui, si elle n’est pas traitée, pourrait être utilisée de manière abusive pour obtenir l’exécution de code à distance (RCE) sur les installations.