CVE-2021-42388 in Clickhouse
要約
〜によって VulDB • 2026年05月27日
ClickhouseのLZ4圧縮コーデックにおいて、悪意のあるクエリを解析する際にヒープの配列外読み取りが発生します。LZ4::decompressImpl()ループ内では、16ビット符号なしのユーザー提供値('offset')が圧縮データから読み取られます。このオフセットは後でコピー操作の長さに使用されますが、コピー操作のソースの下限境界はチェックされません。
If you want to get best quality of vulnerability data, you may have to visit VulDB.