## Исправлено в релизе 19.13.6.1 от 20 сентября 2019 ### CVE-2019-18657 Уязвимость в табличной функции `url` позволяла злоумышленнику добавлять произвольные HTTP-заголовки в запрос. Обнаружено благодаря: [Никите Тихомирову](https://github.com/NSTikhomirov) ## Исправлено в релизе 18.12.13 от 10 сентября 2018 ### CVE-2018-14672 Функция для загрузки CatBoost моделей некорректно обрабатывала пути к файлам, что позволяло читать произвольные локальные файлы на сервере Clickhouse через сообщения об ошибках. Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса ## Исправлено в релизе 18.10.3 от 13 августа 2018 ### CVE-2018-14671 unixODBC позволял указать путь для подключения произвольного shared object в качестве драйвера базы данных, что приводило к возможности выполнить произвольный код на сервере ClickHouse. Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса ## Исправлено в релизе 1.1.54388 от 28 июня 2018 ### CVE-2018-14668 Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery. Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса ## Исправлено в релизе 1.1.54390 от 6 июля 2018 ### CVE-2018-14669 В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse. Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса ## Исправлено в релизе 1.1.54131 от 10 января 2017 ### CVE-2018-14670 Некорректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных. Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC) [Оригинальная статья](https://clickhouse.yandex/docs/ru/security_changelog/)