ClickHouse/docs/zh/security_changelog.md

1.7 KiB
Raw Blame History

修复于 ClickHouse Release 18.12.13, 2018-09-10

CVE-2018-14672

加载CatBoost模型的功能允许遍历路径并通过错误消息读取任意文件。

来源: Yandex信息安全团队的Andrey Krasichkov

修复于 ClickHouse Release 18.10.3, 2018-08-13

CVE-2018-14671

unixODBC允许从文件系统加载任意共享对象从而导致«远程执行代码»漏洞。

来源Yandex信息安全团队的Andrey Krasichkov和Evgeny Sidorov

修复于 ClickHouse Release 1.1.54388, 2018-06-28

CVE-2018-14668

远程表函数功能允许在 «user», «password» 及 «default_database» 字段中使用任意符号,从而导致跨协议请求伪造攻击。

来源Yandex信息安全团队的Andrey Krasichkov

修复于 ClickHouse Release 1.1.54390, 2018-07-06

CVE-2018-14669

ClickHouse MySQL客户端启用了 «LOAD DATA LOCAL INFILE» 功能该功能允许恶意MySQL数据库从连接的ClickHouse服务器读取任意文件。

来源Yandex信息安全团队的Andrey Krasichkov和Evgeny Sidorov

修复于 ClickHouse Release 1.1.54131, 2017-01-10

CVE-2018-14670

deb软件包中的错误配置可能导致使用未经授权的数据库。

来源英国国家网络安全中心NCSC

来源文章