9ec78855cd
* DOCSUP-2806: Add meta intro. * DOCSUP-2806: Update meta intro. * DOCSUP-2806: Fix meta. * DOCSUP-2806: Add quotes for meta headers. * DOCSUP-2806: Remove quotes from meta headers. * DOCSUP-2806: Add meta headers. * DOCSUP-2806: Fix quotes in meta headers. * DOCSUP-2806: Update meta headers. * DOCSUP-2806: Fix link to nowhere in EN. * DOCSUP-2806: Fix link (settings to tune) * DOCSUP-2806: Fix links. * DOCSUP-2806:Fix links EN * DOCSUP-2806: Fix build errors. * DOCSUP-2806: Fix meta intro. * DOCSUP-2806: Fix toc_priority in examples datasets TOC. * DOCSUP-2806: Fix items order in toc. * DOCSUP-2806: Fix order in toc. * DOCSUP-2806: Fix toc order. * DOCSUP-2806: Fix order in toc. * DOCSUP-2806: Fix toc index in create * DOCSUP-2806: Fix toc order in create. Co-authored-by: romanzhukov <romanzhukov@yandex-team.ru> Co-authored-by: alexey-milovidov <milovidov@yandex-team.ru>
5.6 KiB
| toc_priority | toc_title |
|---|---|
| 76 | Security Changelog |
Security Changelog
Исправлено в релизе 19.14.3.3, 2019-09-10
CVE-2019-15024
Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственный сервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
CVE-2019-16535
Интерфейс декомпрессии позволял совершать OOB чтения и записи данных в памяти, а также переполнение целочисленных переменных, что могло приводить к отказу в обслуживании. Также потенциально могло использоваьтся для удаленного выполнения кода.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
CVE-2019-16536
Аутентифицированный клиент злоумышленника имел возможность вызвать переполнение стека, что могло привести к отказу в обслуживании.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 19.13.6.1 от 20 сентября 2019
CVE-2019-18657
Уязвимость в табличной функции url позволяла злоумышленнику добавлять произвольные HTTP-заголовки в запрос.
Обнаружено благодаря: Никите Тихомирову
Исправлено в релизе 18.12.13 от 10 сентября 2018
CVE-2018-14672
Функция для загрузки CatBoost моделей некорректно обрабатывала пути к файлам, что позволяло читать произвольные локальные файлы на сервере Clickhouse через сообщения об ошибках.
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 18.10.3 от 13 августа 2018
CVE-2018-14671
unixODBC позволял указать путь для подключения произвольного shared object в качестве драйвера базы данных, что приводило к возможности выполнить произвольный код на сервере ClickHouse.
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 1.1.54388 от 28 июня 2018
CVE-2018-14668
Табличная функция «remote» допускала произвольные символы в полях «user», «password» и «default_database», что позволяло производить атаки класса Cross Protocol Request Forgery.
Обнаружено благодаря: Андрею Красичкову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 1.1.54390 от 6 июля 2018
CVE-2018-14669
В ClickHouse MySQL клиенте была включена функциональность «LOAD DATA LOCAL INFILE», что позволяло получать доступ на чтение к произвольным файлам на сервере, где запущен ClickHouse.
Обнаружено благодаря: Андрею Красичкову и Евгению Сидорову из Службы Информационной Безопасности Яндекса
Исправлено в релизе 1.1.54131 от 10 января 2017
CVE-2018-14670
Некорректная конфигурация в deb пакете могла привести к неавторизованному доступу к базе данных.
Обнаружено благодаря: the UK’s National Cyber Security Centre (NCSC)
{## Оригинальная статья ##}