mirror of
https://github.com/ClickHouse/ClickHouse.git
synced 2024-12-01 03:52:15 +00:00
64 lines
5.0 KiB
Markdown
64 lines
5.0 KiB
Markdown
## Исправлено в релизе 19.14.3.3, 2019-09-10
|
||
|
||
### CVE-2019-15024
|
||
|
||
Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственный сервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
### CVE-2019-16535
|
||
|
||
Интерфейс декомпрессии позволял совершать OOB чтения и записи данных в памяти, а также переполнение целочисленных переменных, что могло приводить к отказу в обслуживании. Также потенциально могло использоваьтся для удаленного выполнения кода.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
### CVE-2019-16536
|
||
|
||
Аутентифицированный клиент злоумышленника имел возможность вызвать переполнение стека, что могло привести к отказу в обслуживании.
|
||
|
||
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 19.13.6.1 от 20 сентября 2019
|
||
|
||
### CVE-2019-18657
|
||
Уязвимость в табличной функции `url` позволяла злоумышленнику добавлять произвольные HTTP-заголовки в запрос.
|
||
|
||
Обнаружено благодаря: [Никите Тихомирову](https://github.com/NSTikhomirov)
|
||
|
||
## Исправлено в релизе 18.12.13 от 10 сентября 2018
|
||
|
||
### CVE-2018-14672
|
||
Функция для загрузки CatBoost моделей некорректно обрабатывала пути к файлам, что позволяло читать произвольные локальные файлы на сервере Clickhouse через сообщения об ошибках.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 18.10.3 от 13 августа 2018
|
||
|
||
### CVE-2018-14671
|
||
unixODBC позволял указать путь для подключения произвольного shared object в качестве драйвера базы данных, что приводило к возможности выполнить произвольный код на сервере ClickHouse.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54388 от 28 июня 2018
|
||
|
||
### CVE-2018-14668
|
||
Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54390 от 6 июля 2018
|
||
|
||
### CVE-2018-14669
|
||
В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
|
||
|
||
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
|
||
|
||
## Исправлено в релизе 1.1.54131 от 10 января 2017
|
||
|
||
### CVE-2018-14670
|
||
|
||
Некорректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
|
||
|
||
Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)
|
||
[Оригинальная статья](https://clickhouse.tech/docs/ru/security_changelog/) <!--hide-->
|