Merge pull request #26551 from mogrein/security_chglog_2021_25263

Add information about CVE-2021-25263
2024-11-26 01:22:04 +00:00 · 2021-07-20 13:59:01 +03:00 · 2021-07-20 13:59:01 +03:00 · 2091ace66a
commit 2091ace66a
parent d8f45fbe13 842b0454af
2 changed files with 21 additions and 0 deletions
--- a/docs/en/whats-new/security-changelog.md
+++ b/docs/en/whats-new/security-changelog.md
@ -3,6 +3,16 @@ toc_priority: 76
 toc_title: Security Changelog
 ---
 ## Fixed in ClickHouse 21.4.3.21, 2021-04-12 {#fixed-in-clickhouse-release-21-4-3-21-2021-04-12}
 ### CVE-2021-25263 {#cve-2021-25263}
 An attacker that has CREATE DICTIONARY privilege, can read arbitary file outside permitted directory.
 Fix has been pushed to versions 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable and later.
 Credits: [Vyacheslav Egoshin](https://twitter.com/vegoshin)
 ## Fixed in ClickHouse Release 19.14.3.3, 2019-09-10 {#fixed-in-clickhouse-release-19-14-3-3-2019-09-10}
 ### CVE-2019-15024 {#cve-2019-15024}
--- a/docs/ru/whats-new/security-changelog.md
+++ b/docs/ru/whats-new/security-changelog.md
@ -5,6 +5,17 @@ toc_title: Security Changelog
 # Security Changelog {#security-changelog}
 ## Исправлено в релизе 21.4.3.21, 2021-04-12 {#fixed-in-clickhouse-release-21-4-3-21-2019-09-10}
 ### CVE-2021-25263 {#cve-2021-25263}
 Злоумышленник с доступом к созданию словарей может читать файлы на файловой системе сервера Clickhouse.
 Злоумышленник может обойти некорректную проверку пути к файлу словаря и загрузить часть любого файла как словарь. При этом, манипулируя опциями парсинга файла, можно получить следующую часть файла и пошагово прочитать весь файл.
 Исправление доступно в версиях 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable и выше.
 Обнаружено благодаря: [Вячеславу Егошину](https://twitter.com/vegoshin)
 ## Исправлено в релизе 19.14.3.3, 2019-09-10 {#ispravleno-v-relize-19-14-3-3-2019-09-10}
 ### CVE-2019-15024 {#cve-2019-15024}