ClickHouse/docs/ru/security_changelog.md
2020-01-09 18:16:15 +03:00

64 lines
5.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

## Исправлено в релизе 19.14.3.3, 2019-09-10
### CVE-2019-15024
Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственный сервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
### CVE-2019-16535
Интерфейс декомпрессии позволял совершать OOB чтения и записи данных в памяти, а также переполнение целочисленных переменных, что могло приводить к отказу в обслуживании. Также потенциально могло использоваьтся для удаленного выполнения кода.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
### CVE-2019-16536
Аутентифицированный клиент злоумышленника имел возможность вызвать переполнение стека, что могло привести к отказу в обслуживании.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
## Исправлено в релизе 19.13.6.1 от 20 сентября 2019
### CVE-2019-18657
Уязвимость в табличной функции `url` позволяла злоумышленнику добавлять произвольные HTTP-заголовки в запрос.
Обнаружено благодаря: [Никите Тихомирову](https://github.com/NSTikhomirov)
## Исправлено в релизе 18.12.13 от 10 сентября 2018
### CVE-2018-14672
Функция для загрузки CatBoost моделей некорректно обрабатывала пути к файлам, что позволяло читать произвольные локальные файлы на сервере Clickhouse через сообщения об ошибках.
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
## Исправлено в релизе 18.10.3 от 13 августа 2018
### CVE-2018-14671
unixODBC позволял указать путь для подключения произвольного shared object в качестве драйвера базы данных, что приводило к возможности выполнить произвольный код на сервере ClickHouse.
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
## Исправлено в релизе 1.1.54388 от 28 июня 2018
### CVE-2018-14668
Табличная функция "remote" допускала произвольные символы в полях "user", "password" и "default_database", что позволяло производить атаки класса Cross Protocol Request Forgery.
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
## Исправлено в релизе 1.1.54390 от 6 июля 2018
### CVE-2018-14669
В ClickHouse MySQL клиенте была включена функциональность "LOAD DATA LOCAL INFILE", что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
## Исправлено в релизе 1.1.54131 от 10 января 2017
### CVE-2018-14670
Некорректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
Обнаружено благодаря: the UK's National Cyber Security Centre (NCSC)
[Оригинальная статья](https://clickhouse.yandex/docs/ru/security_changelog/) <!--hide-->