mirror of
https://github.com/ClickHouse/ClickHouse.git
synced 2024-11-18 05:32:52 +00:00
9977788daf
* Some improvements for introduction/performance.md * Minor improvements for example_datasets * Add website/package-lock.json to .gitignore * YT paragraph was badly outdated and there is no real reason to write a new one * Use weird introduction article as a starting point for F.A.Q. * Some refactoring of first half of ya_metrika_task.md * minor * Weird docs footer bugfix * Forgotten redirect * h/v scrollbars same size in docs * CLICKHOUSE-3831: introduce security changelog * A bit more narrow tables on docs front page
1.4 KiB
1.4 KiB
Исправлено в релизе 1.1.54388 от 28 июня 2018
CVE-2018-14668
Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 1.1.54390 от 6 июля 2018
CVE-2018-14669
В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 1.1.54131 от 10 января 2017
CVE-2018-14670
Некоррректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)