mirror of
https://github.com/ClickHouse/ClickHouse.git
synced 2024-11-15 03:53:41 +00:00
9ec78855cd
* DOCSUP-2806: Add meta intro. * DOCSUP-2806: Update meta intro. * DOCSUP-2806: Fix meta. * DOCSUP-2806: Add quotes for meta headers. * DOCSUP-2806: Remove quotes from meta headers. * DOCSUP-2806: Add meta headers. * DOCSUP-2806: Fix quotes in meta headers. * DOCSUP-2806: Update meta headers. * DOCSUP-2806: Fix link to nowhere in EN. * DOCSUP-2806: Fix link (settings to tune) * DOCSUP-2806: Fix links. * DOCSUP-2806:Fix links EN * DOCSUP-2806: Fix build errors. * DOCSUP-2806: Fix meta intro. * DOCSUP-2806: Fix toc_priority in examples datasets TOC. * DOCSUP-2806: Fix items order in toc. * DOCSUP-2806: Fix order in toc. * DOCSUP-2806: Fix toc order. * DOCSUP-2806: Fix order in toc. * DOCSUP-2806: Fix toc index in create * DOCSUP-2806: Fix toc order in create. Co-authored-by: romanzhukov <romanzhukov@yandex-team.ru> Co-authored-by: alexey-milovidov <milovidov@yandex-team.ru>
77 lines
5.6 KiB
Markdown
77 lines
5.6 KiB
Markdown
---
|
||
toc_priority: 76
|
||
toc_title: Security Changelog
|
||
---
|
||
|
||
# Security Changelog {#security-changelog}
|
||
|
||
## Исправлено в релизе 19.14.3.3, 2019-09-10 {#ispravleno-v-relize-19-14-3-3-2019-09-10}
|
||
|
||
### CVE-2019-15024 {#cve-2019-15024}
|
||
|
||
Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственный сервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
### CVE-2019-16535 {#cve-2019-16535}
|
||
|
||
Интерфейс декомпрессии позволял совершать OOB чтения и записи данных в памяти, а также переполнение целочисленных переменных, что могло приводить к отказу в обслуживании. Также потенциально могло использоваьтся для удаленного выполнения кода.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
### CVE-2019-16536 {#cve-2019-16536}
|
||
|
||
Аутентифицированный клиент злоумышленника имел возможность вызвать переполнение стека, что могло привести к отказу в обслуживании.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 19.13.6.1 от 20 сентября 2019 {#ispravleno-v-relize-19-13-6-1-ot-20-sentiabria-2019}
|
||
|
||
### CVE-2019-18657 {#cve-2019-18657}
|
||
|
||
Уязвимость в табличной функции `url` позволяла злоумышленнику добавлять произвольные HTTP-заголовки в запрос.
|
||
|
||
Обнаружено благодаря: [Никите Тихомирову](https://github.com/NSTikhomirov)
|
||
|
||
## Исправлено в релизе 18.12.13 от 10 сентября 2018 {#ispravleno-v-relize-18-12-13-ot-10-sentiabria-2018}
|
||
|
||
### CVE-2018-14672 {#cve-2018-14672}
|
||
|
||
Функция для загрузки CatBoost моделей некорректно обрабатывала пути к файлам, что позволяло читать произвольные локальные файлы на сервере Clickhouse через сообщения об ошибках.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 18.10.3 от 13 августа 2018 {#ispravleno-v-relize-18-10-3-ot-13-avgusta-2018}
|
||
|
||
### CVE-2018-14671 {#cve-2018-14671}
|
||
|
||
unixODBC позволял указать путь для подключения произвольного shared object в качестве драйвера базы данных, что приводило к возможности выполнить произвольный код на сервере ClickHouse.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54388 от 28 июня 2018 {#ispravleno-v-relize-1-1-54388-ot-28-iiunia-2018}
|
||
|
||
### CVE-2018-14668 {#cve-2018-14668}
|
||
|
||
Табличная функция «remote» допускала произвольные символы в полях «user», «password» и «default_database», что позволяло производить атаки класса Cross Protocol Request Forgery.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54390 от 6 июля 2018 {#ispravleno-v-relize-1-1-54390-ot-6-iiulia-2018}
|
||
|
||
### CVE-2018-14669 {#cve-2018-14669}
|
||
|
||
В ClickHouse MySQL клиенте была включена функциональность «LOAD DATA LOCAL INFILE», что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54131 от 10 января 2017 {#ispravleno-v-relize-1-1-54131-ot-10-ianvaria-2017}
|
||
|
||
### CVE-2018-14670 {#cve-2018-14670}
|
||
|
||
Некорректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
|
||
|
||
Обнаружено благодаря: the UK’s National Cyber Security Centre (NCSC)
|
||
|
||
{## [Оригинальная статья](https://clickhouse.tech/docs/ru/security_changelog/) ##}
|