mirror of
https://github.com/ClickHouse/ClickHouse.git
synced 2024-11-27 10:02:01 +00:00
21 lines
1.4 KiB
Markdown
21 lines
1.4 KiB
Markdown
|
## Исправлено в релизе 1.1.54388 от 28 июня 2018
|
|||
|
|
|||
|
### CVE-2018-14668
|
|||
|
Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.
|
|||
|
|
|||
|
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
|
|||
|
|
|||
|
## Исправлено в релизе 1.1.54390 от 6 июля 2018
|
|||
|
|
|||
|
### CVE-2018-14669
|
|||
|
В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
|
|||
|
|
|||
|
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
|
|||
|
|
|||
|
## Исправлено в релизе 1.1.54131 от 10 января 2017
|
|||
|
|
|||
|
### CVE-2018-14670
|
|||
|
|
|||
|
Некоррректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
|
|||
|
|
|||
|
Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)
|