> ## Documentation Index
> Fetch the complete documentation index at: https://private-7c7dfe99-fix-nav-issues.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Журнал изменений безопасности

> Журнал изменений безопасности с описанием обновлений и изменений, связанных с безопасностью

<div id="fixed-in-clickhouse-release-2025-01-05">
  ## Исправлено в ClickHouse v25.1.5.5, 2025-01-05
</div>

<div id="CVE-2025-1385">
  ### [CVE-2025-1385](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-5phv-x8x4-83x5)
</div>

Когда возможность library bridge включена, clickhouse-library-bridge предоставляет HTTP API на localhost. Это позволяет clickhouse-server динамически загружать библиотеку по указанному пути и выполнять её в изолированном процессе. В сочетании с функциональностью движков таблиц ClickHouse, допускающей загрузку файлов в определённые каталоги, сервер с некорректной конфигурацией может быть скомпрометирован злоумышленником, имеющим права доступа к обоим движкам таблиц, что позволяет выполнять на сервере ClickHouse произвольный код.

Исправление включено в следующие open-source версии: v24.3.18.6, v24.8.14.27, v24.11.5.34, v24.12.5.65, v25.1.5.5

ClickHouse Cloud не подвержен этой уязвимости.

Благодарности: [Arseniy Dugin](https://github.com/ZerLes)

<div id="fixed-in-clickhouse-release-2024-08-01">
  ## Исправлено в ClickHouse v24.5, 2024-08-01
</div>

<div id="CVE-2024-6873">
  ### [CVE-2024-6873](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-432f-r822-j66f)
</div>

Можно перенаправить поток выполнения процесса сервера ClickHouse через неаутентифицированный вектор, отправив специально сформированный запрос в нативный интерфейс сервера ClickHouse. Такое перенаправление ограничено содержимым участка памяти размером 256 байт, доступного в момент выполнения. Эта уязвимость была выявлена в рамках нашей программы Bugbounty, и нам не известно ни о создании, ни об эксплуатации какого-либо Proof of Concept-кода для удалённого выполнения кода (RCE).

Исправление выпущено для следующих версий с открытым исходным кодом: v23.8.15.35-lts, v24.3.4.147-lts, v24.4.2.141-stable, v24.5.1.1763, v24.6.1.4423-stable

В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено ко всем экземплярам, начиная с v24.2.

Благодарности:  malacupa (независимый исследователь)

<div id="fixed-in-clickhouse-release-24-01-30">
  ## Исправлено в ClickHouse v24.1 от 2024-01-30
</div>

<div id="CVE-2024-22412">
  ### [CVE-2024-22412](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-45h5-f7g3-gr8r)
</div>

При переключении между пользовательскими ролями в ClickHouse с включенным кэшем запросов существует риск получения некорректных данных. ClickHouse рекомендует пользователям уязвимых версий ClickHouse не использовать кэш запросов, если их приложение динамически переключается между разными ролями.

Исправление внесено в следующие open-source версии: v24.1.1.2048, v24.1.8.22-stable, v23.12.6.19-stable, v23.8.12.13-lts, v23.3.22.3-lts

В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено в версии v24.0.2.54535.

Благодарности: Evan Johnson и Alan Braithwaite из команды Runreveal — дополнительную информацию можно найти в [их блоге](https://blog.runreveal.com/cve-2024-22412-behind-the-bug-a-classic-caching-problem-in-the-clickhouse-query-cache/).

<div id="fixed-in-clickhouse-release-23-10-5-20-2023-11-26">
  ## Исправлено в ClickHouse v23.10.5.20, 2023-11-26
</div>

<div id="CVE-2023-47118">
  ### [CVE-2023-47118](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-g22g-p6q2-x39v)
</div>

Уязвимость типа переполнение буфера кучи, затрагивающая нативный интерфейс, который по умолчанию работает на порту 9000/tcp. Злоумышленник, спровоцировав ошибку в кодеке сжатия T64, может привести к аварийному завершению процесса сервера ClickHouse. Эту уязвимость можно эксплуатировать без аутентификации.

Исправление добавлено в следующие версии с открытым исходным кодом: v23.10.2.13, v23.9.4.11, v23.8.6.16, v23.3.16.7

ClickHouse Cloud использует другую схему версионирования, и исправление этой уязвимости было применено в версии v23.9.2.47475.

Благодарности: malacupa (независимый исследователь)

<div id="CVE-2023-48298">
  ### [CVE-2023-48298](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-qw9f-qv29-8938)
</div>

Уязвимость, связанная с выходом за нижнюю границу диапазона целого числа, в кодеке сжатия FPC. Злоумышленник может использовать её, чтобы аварийно завершить процесс сервера ClickHouse. Для эксплуатации этой уязвимости аутентификация не требуется.

Исправление включено в следующие open-source версии: v23.10.4.25, v23.9.5.29, v23.8.7.24, v23.3.17.13.

В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено в v23.9.2.47475.

Credits:  malacupa (независимый исследователь)

<div id="CVE-2023-48704">
  ### [CVE-2023-48704](https://github.com/ClickHouse/ClickHouse/security/advisories/GHSA-5rmf-5g48-xv63)
</div>

Уязвимость типа переполнение буфера кучи затрагивает нативный интерфейс, который по умолчанию использует порт 9000/tcp. Злоумышленник, вызвав ошибку в кодеке Gorilla, может привести к аварийному завершению процесса сервера ClickHouse. Эту уязвимость можно эксплуатировать без аутентификации.

Исправление внесено в следующие версии с открытым исходным кодом: v23.10.5.20, v23.9.6.20, v23.8.8.20, v23.3.18.15.

ClickHouse Cloud использует другую схему версионирования, и исправление этой уязвимости было применено в v23.9.2.47551.

Благодарность:  malacupa (независимый исследователь)

<div id="fixed-in-clickhouse-release-22-9-1-2603-2022-9-22">
  ## Исправлено в ClickHouse 22.9.1.2603 от 2022-09-22
</div>

<div id="CVE-2022-44011">
  ### CVE-2022-44011
</div>

В сервере ClickHouse была обнаружена уязвимость, связанная с переполнением буфера кучи. Злоумышленник, имеющий возможность загружать данные в сервер ClickHouse, мог вызвать сбой сервера ClickHouse, выполнив вставку некорректного объекта CapnProto.

Исправление внесено в версии 22.9.1.2603, 22.8.2.11, 22.7.4.16, 22.6.6.16, 22.3.12.19

Благодарности: Kiojj (независимый исследователь)

<div id="CVE-2022-44010">
  ### CVE-2022-44010
</div>

В сервере ClickHouse обнаружена уязвимость, приводящая к переполнению буфера кучи. Злоумышленник мог отправить специально сформированный HTTP-запрос на HTTP-конечную точку (по умолчанию прослушивающую порт 8123), что вызывало переполнение буфера кучи и приводило к сбою процесса сервера ClickHouse. Для этой атаки аутентификация не требуется.

Исправление внесено в версии 22.9.1.2603, 22.8.2.11, 22.7.4.16, 22.6.6.16, 22.3.12.19

Благодарности: Kiojj (независимый исследователь)

<div id="fixed-in-clickhouse-release-21-10-2-215-2021-10-18">
  ## Исправлено в ClickHouse 21.10.2.15 от 2021-10-18
</div>

<div id="cve-2021-43304">
  ### CVE-2021-43304
</div>

Переполнение буфера кучи в кодеке сжатия LZ4 в ClickHouse при разборе вредоносного запроса. Не проверяется, что операции копирования в цикле `LZ4::decompressImpl`, и особенно произвольная операция копирования `wildCopy<copy_amount>(op, ip, copy_end)`, не выходят за границы буфера пункта назначения.

Благодарности: JFrog Security Research Team

<div id="cve-2021-43305">
  ### CVE-2021-43305
</div>

Переполнение буфера кучи в кодеке сжатия LZ4 в ClickHouse при разборе вредоносного запроса. Отсутствует проверка того, что операции копирования в цикле LZ4::decompressImpl, и в особенности операция произвольного копирования `wildCopy<copy_amount>(op, ip, copy_end)`, не выходят за пределы буфера. Эта проблема очень похожа на CVE-2021-43304, но уязвимая операция копирования находится в другом вызове wildCopy.

Благодарности: JFrog Security Research Team

<div id="cve-2021-42387">
  ### CVE-2021-42387
</div>

Чтение за пределами буфера в куче в кодеке сжатия LZ4 ClickHouse при разборе вредоносного запроса. В цикле LZ4::decompressImpl() из сжатых данных считывается 16-битное беззнаковое значение ('offset'), заданное пользователем. Впоследствии offset используется для вычисления длины операции копирования без проверки верхних границ источника копирования.

Благодарность: JFrog Security Research Team

<div id="cve-2021-42388">
  ### CVE-2021-42388
</div>

Чтение за пределами буфера кучи в кодеке сжатия LZ4 ClickHouse при разборе вредоносного запроса. В цикле LZ4::decompressImpl() из сжатых данных считывается 16-битное беззнаковое значение, заданное пользователем ('offset'). Впоследствии offset используется при вычислении длины операции копирования без проверки нижней границы источника копирования.

Обнаружено командой JFrog Security Research Team

<div id="cve-2021-42389">
  ### CVE-2021-42389
</div>

Деление на ноль в кодеке сжатия Delta в ClickHouse при разборе вредоносного запроса. Первый байт сжатого буфера используется в операции вычисления остатка от деления без проверки на 0.

Благодарности: JFrog Security Research Team

<div id="cve-2021-42390">
  ### CVE-2021-42390
</div>

Деление на ноль в кодеке сжатия DeltaDouble в ClickHouse при разборе вредоносного запроса. Первый байт сжатого буфера используется в операции взятия по модулю без проверки на 0.

Авторы исследования: JFrog Security Research Team

<div id="cve-2021-42391">
  ### CVE-2021-42391
</div>

Деление на ноль в кодеке сжатия Gorilla в ClickHouse при парсинге вредоносного запроса. Первый байт сжатого буфера используется в операции вычисления по модулю без проверки на 0.

Благодарность: команда JFrog Security Research

<div id="fixed-in-clickhouse-release-21-4-3-21-2021-04-12">
  ## Исправлено в ClickHouse 21.4.3.21, 2021-04-12
</div>

<div id="cve-2021-25263">
  ### CVE-2021-25263
</div>

Злоумышленник, имеющий привилегию CREATE DICTIONARY, может прочитать произвольный файл за пределами разрешённого каталога.

Исправление внесено в версии 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable и более поздние.

Благодарность: [Vyacheslav Egoshin](https://twitter.com/vegoshin)

<div id="fixed-in-clickhouse-release-19-14-3-3-2019-09-10">
  ## Исправлено в релизе ClickHouse 19.14.3.3, 2019-09-10
</div>

<div id="cve-2019-15024">
  ### CVE-2019-15024
</div>

Злоумышленник, имеющий доступ на запись в ZooKeeper и способный запустить собственный сервер, доступный из сети, в которой работает ClickHouse, может создать специально подготовленный вредоносный сервер, который будет выступать в роли реплики ClickHouse, и зарегистрировать его в ZooKeeper. Когда другая реплика будет получать часть данных с вредоносной реплики, это может заставить clickhouse-server записать данные по произвольному пути в файловой системе.

Благодарность: Eldar Zaitov из команды информационной безопасности Яндекса

<div id="cve-2019-16535">
  ### CVE-2019-16535
</div>

Уязвимости чтения за пределами буфера (OOB read), записи за пределами буфера (OOB write) и выход за нижнюю границу диапазона целого числа в алгоритмах декомпрессии могут использоваться для выполнения RCE- или DoS-атак через собственный протокол.

Благодарности: Eldar Zaitov, команда информационной безопасности Яндекса

<div id="cve-2019-16536">
  ### CVE-2019-16536
</div>

Переполнение стека, приводящее к DoS, может быть вызвано злоумышленным клиентом, прошедшим аутентификацию.

Благодарности: Eldar Zaitov из команды информационной безопасности Яндекса

<div id="fixed-in-clickhouse-release-19-13-6-1-2019-09-20">
  ## Исправлено в релизе ClickHouse 19.13.6.1 от 2019-09-20
</div>

<div id="cve-2019-18657">
  ### CVE-2019-18657
</div>

В табличной функции `url` была уязвимость, позволявшая злоумышленнику внедрять в запрос произвольные HTTP-заголовки.

Благодарности: [Nikita Tikhomirov](https://github.com/NSTikhomirov)

<div id="fixed-in-clickhouse-release-18-12-13-2018-09-10">
  ## Исправлено в релизе ClickHouse 18.12.13 от 2018-09-10
</div>

<div id="cve-2018-14672">
  ### CVE-2018-14672
</div>

Функции загрузки моделей CatBoost допускали обход path и чтение произвольных файлов через сообщения об ошибках.

Credits: Andrey Krasichkov, Yandex Information Security Team

<div id="fixed-in-clickhouse-release-18-10-3-2018-08-13">
  ## Исправлено в релизе ClickHouse 18.10.3, 2018-08-13
</div>

<div id="cve-2018-14671">
  ### CVE-2018-14671
</div>

unixODBC позволял загружать из файловой системы произвольные разделяемые библиотеки, что приводило к уязвимости удалённого выполнения кода.

Благодарности: Andrey Krasichkov и Evgeny Sidorov из команды информационной безопасности Яндекса

<div id="fixed-in-clickhouse-release-1-1-54388-2018-06-28">
  ## Исправлено в релизе ClickHouse 1.1.54388, 2018-06-28
</div>

<div id="cve-2018-14668">
  ### CVE-2018-14668
</div>

Табличная функция "remote" допускала использование произвольных символов в полях "user", "password" и "default\_database", что приводило к атакам межпротокольной подделки запросов.

Благодарность: Andrey Krasichkov, Yandex Information Security Team

<div id="fixed-in-clickhouse-release-1-1-54390-2018-07-06">
  ## Исправлено в релизе ClickHouse 1.1.54390, 2018-07-06
</div>

<div id="cve-2018-14669">
  ### CVE-2018-14669
</div>

В MySQL-клиенте ClickHouse была включена функция "LOAD DATA LOCAL INFILE", которая позволяла вредоносной базе данных MySQL читать произвольные файлы с подключенного сервера ClickHouse.

Credits: Andrey Krasichkov и Evgeny Sidorov, команда информационной безопасности Yandex

<div id="fixed-in-clickhouse-release-1-1-54131-2017-01-10">
  ## Исправлено в релизе ClickHouse 1.1.54131, 2017-01-10
</div>

<div id="cve-2018-14670">
  ### CVE-2018-14670
</div>

Некорректная конфигурация в пакете deb могла привести к несанкционированному использованию базы данных.

Заслуга в обнаружении: Национальный центр кибербезопасности Великобритании (NCSC)
