Bulletin d'alerte Debian

DLA-3176-1 clickhouse -- Mise à jour de sécurité pour LTS

Date du rapport :
7 novembre 2022
Paquets concernés :
clickhouse
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1008216.
Dans le dictionnaire CVE du Mitre : CVE-2021-42387, CVE-2021-42388, CVE-2021-43304, CVE-2021-43305.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans clickhouse, un système de base de données orientée colonne.

Les vulnérabilités requièrent une authentification, mais peuvent être déclenchées par tout utilisateur doté de droits en lecture. Cela signifie que l'attaquant peut réaliser une reconnaissance sur la cible particulière du serveur ClickHouse pour obtenir des identifiants valables. Tout jeu d'identifiants devrait fonctionner, dans la mesure où même un utilisateur avec les privilèges les plus bas peut déclencher toutes les vulnérabilités. En déclenchant les vulnérabilités, un attaquant peut planter le serveur ClickHouse, divulguer des contenus de mémoire ou même provoquer l'exécution de code distant.

  • CVE-2021-42387:

    Une lecture de tas hors limites dans le codec de compression LZ4 de Clickhouse lors de l'analyse d'une requête malveillante. Dans le cadre de la boucle de LZ4::decompressImpl(), une valeur 16 bits non signée fournie par l'utilisateur (offset) est lue à partir des données compressées. L'offset est ensuite utilisé pour la longueur d'une opération de copie, sans vérifier les limites supérieures de la source de l'opération de copie.

  • CVE-2021-42388:

    Une lecture de tas hors limites dans le codec de compression LZ4 de Clickhouse lors de l'analyse d'une requête malveillante. Dans le cadre de la boucle de LZ4::decompressImpl(), une valeur 16 bits non signée fournie par l'utilisateur (offset) est lue à partir des données compressées. L'offset est ensuite utilisé pour la longueur d'une opération de copie, sans vérifier les limites inférieures de la source de l'opération de copie.

  • CVE-2021-43304:

    Un dépassement de tampon de tas dans le codec de compression LZ4 de Clickhouse lors de l'analyse d'une requête malveillante. Il n'y pas de vérification que les opérations de copie dans la boucle de LZ4::decompressImpl, et particulièrement l'opération de copie arbitraire wildCopy<copy_amount>(op, ip,copy_end), ne dépassent pas les limites du tampon de destination.

  • CVE-2021-43305:

    Un dépassement de tampon de tas dans le codec de compression LZ4 de Clickhouse lors de l'analyse d'une requête malveillante. Il n'y pas de vérification que dans les opérations de copie dans la boucle de LZ4::decompressImpl, et particulièrement l'opération de copie arbitraire wildCopy<copy_amount>(op, ip,copy_end), ne dépassent pas les limites du tampon de destination. Ce problème est très semblable au CVE-2021-43304, mais l'opération de copie vulnérable se trouve dans un appel différent de wildCopy.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 18.16.1+ds-4+deb10u1.

Nous vous recommandons de mettre à jour vos paquets clickhouse.

Pour disposer d'un état détaillé sur la sécurité de clickhouse, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/clickhouse.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.