Add information about CVE-2021-25263 that has been fixed in april release.

2024-11-10 01:25:21 +00:00 · 2021-07-20 11:16:18 +03:00 · 2021-07-20 11:16:18 +03:00 · 842b0454af
commit 842b0454af
parent 2d2f63c620
2 changed files with 21 additions and 0 deletions
--- a/docs/en/whats-new/security-changelog.md
+++ b/docs/en/whats-new/security-changelog.md
@ -3,6 +3,16 @@ toc_priority: 76
 toc_title: Security Changelog
 ---

+## Fixed in ClickHouse 21.4.3.21, 2021-04-12 {#fixed-in-clickhouse-release-21-4-3-21-2021-04-12}
+
+### CVE-2021-25263 {#cve-2021-25263}
+
+An attacker that has CREATE DICTIONARY privilege, can read arbitary file outside permitted directory.
+
+Fix has been pushed to versions 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable and later.
+
+Credits: [Vyacheslav Egoshin](https://twitter.com/vegoshin)
+
 ## Fixed in ClickHouse Release 19.14.3.3, 2019-09-10 {#fixed-in-clickhouse-release-19-14-3-3-2019-09-10}

 ### CVE-2019-15024 {#cve-2019-15024}
--- a/docs/ru/whats-new/security-changelog.md
+++ b/docs/ru/whats-new/security-changelog.md
@ -5,6 +5,17 @@ toc_title: Security Changelog

 # Security Changelog {#security-changelog}

+## Исправлено в релизе 21.4.3.21, 2021-04-12 {#fixed-in-clickhouse-release-21-4-3-21-2019-09-10}
+
+### CVE-2021-25263 {#cve-2021-25263}
+
+Злоумышленник с доступом к созданию словарей может читать файлы на файловой системе сервера Clickhouse.
+Злоумышленник может обойти некорректную проверку пути к файлу словаря и загрузить часть любого файла как словарь. При этом, манипулируя опциями парсинга файла, можно получить следующую часть файла и пошагово прочитать весь файл.
+
+Исправление доступно в версиях 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable и выше.
+
+Обнаружено благодаря: [Вячеславу Егошину](https://twitter.com/vegoshin)
+
 ## Исправлено в релизе 19.14.3.3, 2019-09-10 {#ispravleno-v-relize-19-14-3-3-2019-09-10}

 ### CVE-2019-15024 {#cve-2019-15024}