CVE-2021-42387 in Clickhouse
要約
〜によって VulDB • 2026年07月13日
ClickhouseのLZ4圧縮コーデックにおいて、悪意のあるクエリを解析する際にヒープ領域の外側への読み取り(Heap out-of-bounds read)が発生します。LZ4::decompressImpl()ループ内では、16ビット符号なし整数であるユーザー提供値「offset」が圧縮データから読み取られます。このオフセットは後でコピー操作の長さに使用されますが、コピー元の上限境界をチェックせずに使用されるため、不正なメモリアクセスを引き起こす可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.