一、概要
近日，基調(diào)聽云關(guān)注到ClickHouse存在堆緩沖區(qū)溢出問(wèn)題。攻擊者不需要身份憑證可以向默認(rèn)情況下在9000/tcp端口上公開的本地接口發(fā)送一個(gè)特制的有效載荷，觸發(fā)T64編解碼器解壓邏輯中的錯(cuò)誤，導(dǎo)致ClickHouse服務(wù)器進(jìn)程崩潰。攻擊者在擁有有效憑據(jù)的前提下也可以通過(guò)HTTP協(xié)議觸發(fā)。
參考鏈接：https://nvd.nist.gov/vuln/detail/CVE-2023-47118
二、威脅級(jí)別
威脅級(jí)別：【嚴(yán)重】
三、CVSS評(píng)分
https://nvd.nist.gov/vuln/detail/CVE-2023-47118 9.8(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
四、漏洞影響范圍
影響版本：

安全版本：
ClickHouse 23.10.2.13-stable, 23.9.4.11-stable, 23.8.6.16-lts and 23.3.16.7-lts
五、漏洞排查及處置
目前，基調(diào)聽云已發(fā)布新補(bǔ)丁修復(fù)了該漏洞，請(qǐng)受影響的用戶聯(lián)系相應(yīng)的技術(shù)支持升級(jí)到安全版本。