عيوب متعددة تم الكشف عنها في نظام قاعدة بيانات OLAP Clickhouse للبيانات الكبيرة

متابعات-ميكسي نيوز

Clickhouse….كشف الباحثون عن سبعة نقاط ثغرة أمنية جديدة في حل نظام إدارة قاعدة بيانات مفتوح المصدر يسمى Clickhouse يمكن أن يتم سلاح ذلك لتحطم الخوادم ، ومحتويات ذاكرة تسرب ، وحتى يؤدي إلى تنفيذ الكود التعسفي.

“تتطلب نقاط الضعف المصادقة ، ولكن يمكن أن ينشأها أي مستخدم مع أذونات القراءة” ، Uriya Yavnieli و OR Peles ، باحثين من شركة DevSecops Jfrog ، قال في تقرير نشر الثلاثاء.

“هذا يعني أنه يجب على المهاجم إجراء استطلاع على هدف خادم Clickhouse المحدد للحصول على بيانات اعتماد صالحة. أي مجموعة من بيانات الاعتماد ستعمل ، نظرًا لأن المستخدم الذي يتمتع بأقل امتيازات يمكن أن يؤدي إلى جميع نقاط الضعف.”

قائمة العيوب السبعة أدناه –

• CVE-2021-43304 و CVE-2011-43305 (درجات CVSS: 8.8) – عيوب في التدفق المخزن المؤقت في برنامج ترميز ضغط LZ4 الذي يمكن أن يؤدي إلى تنفيذ الكود البعيد
• CVE-2021-42387 و CVE-2021-42388 (درجات CVSS: 7.1)-قراءة الكومة خارج الحدود العيوب في برنامج ترميز ضغط LZ4 الذي يمكن أن يؤدي إلى رفض الخدمة أو تسرب المعلومات
• CVE-2021-42389 (CVSS SCORE: 6.5)-عيب قسمة في برنامج ترميز ضغط الدلتا الذي قد يؤدي إلى حالة رفض الخدمة
• CVE-2021-42390 (CVSS SCORE: 6.5)-عيب قسمة في برنامج ترميز ضغط Deltadouble يمكن أن يؤدي إلى حالة إنكار الخدمة
• CVE-2021-42391 (CVSS SCORE: 6.5)-عيب قسمة في برنامج ترميز ضغط الغوريلا الذي قد يؤدي إلى حالة رفض الخدمة

يمكن للمهاجم الاستفادة من أي من العيوب المذكورة أعلاه باستخدام ملف مضغوط مصنوع خصيصًا لتصادم خادم قاعدة بيانات ضعيف. ينصح مستخدمو Clickhouse بالترقية إلى الإصدار “v21.10.2.15 مستقرة“أو لاحقًا للتخفيف من القضايا.

تأتي النتائج بعد شهر من الكشف عن JFROG عن تفاصيل عن ثغرة أمنية عالية الشهرة في Apache Cassandra (CVE-2021-44521 ، CVSS SCORE: 8.4) ، إذا تركت دون معالجة ، يمكن إساءة معاملتها لاكتساب تنفيذ التعليمات البرمجية عن بُعد (RCE) على التركيبات المتأثرة.