ClickHouse/docs/ru/security_changelog.md

## Исправлено в релизе 1.1.54388 от 28 июня 2018 

### CVE-2018-14668
Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.

Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса

## Исправлено в релизе 1.1.54390 от 6 июля 2018

### CVE-2018-14669
В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.

Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса

## Исправлено в релизе 1.1.54131 от 10 января 2017

### CVE-2018-14670

Некоррректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.

Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)
[Оригинальная статья](https://clickhouse.yandex/docs/ru/security_changelog/) <!--hide-->
-												WIP on docs (#2819)

* Some improvements for introduction/performance.md

* Minor improvements for example_datasets

* Add website/package-lock.json to .gitignore

* YT paragraph was badly outdated and there is no real reason to write a new one

* Use weird introduction article as a starting point for F.A.Q.

* Some refactoring of first half of ya_metrika_task.md

* minor

* Weird docs footer bugfix

* Forgotten redirect

* h/v scrollbars same size in docs

* CLICKHOUSE-3831: introduce security changelog

* A bit more narrow tables on docs front page

											
										
										
											2018-08-07 12:06:41 +00:00
+								## Исправлено в релизе 1.1.54388 от 28 июня 2018
 								### CVE-2018-14668
 								Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.
 								Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
 								## Исправлено в релизе 1.1.54390 от 6 июля 2018
 								### CVE-2018-14669
 								В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
 								Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
 								## Исправлено в релизе 1.1.54131 от 10 января 2017
 								### CVE-2018-14670
 								Некоррректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
-												WIP on docs/website (#3383)

* CLICKHOUSE-4063: less manual html @ index.md

* CLICKHOUSE-4063: recommend markdown="1" in README.md

* CLICKHOUSE-4003: manually purge custom.css for now

* CLICKHOUSE-4064: expand <details> before any print (including to pdf)

* CLICKHOUSE-3927: rearrange interfaces/formats.md a bit

* CLICKHOUSE-3306: add few http headers

* Remove copy-paste introduced in #3392

* Hopefully better chinese fonts #3392

* get rid of tabs @ custom.css

* Apply comments and patch from #3384

* Add jdbc.md to ToC and some translation, though it still looks badly incomplete

* minor punctuation

* Add some backlinks to official website from mirrors that just blindly take markdown sources

* Do not make fonts extra light

* find . -name '*.md' -type f | xargs -I{} perl -pi -e 's//g' {}

* find . -name '*.md' -type f | xargs -I{} perl -pi -e 's/ sql/g' {}

* Remove outdated stuff from roadmap.md

* Not so light font on front page too

* Refactor Chinese formats.md to match recent changes in other languages

											
										
										
											2018-10-16 10:47:17 +00:00
+								Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)
 								[Оригинальная статья](https://clickhouse.yandex/docs/ru/security_changelog/) <!--hide-->