Журнал изменений безопасности

Исправлено в ClickHouse v25.1.5.5, 2025-01-05

CVE-2025-1385

Когда возможность library bridge включена, clickhouse-library-bridge предоставляет HTTP API на localhost. Это позволяет clickhouse-server динамически загружать библиотеку по указанному пути и выполнять её в изолированном процессе. В сочетании с функциональностью движков таблиц ClickHouse, допускающей загрузку файлов в определённые каталоги, сервер с некорректной конфигурацией может быть скомпрометирован злоумышленником, имеющим права доступа к обоим движкам таблиц, что позволяет выполнять на сервере ClickHouse произвольный код. Исправление включено в следующие open-source версии: v24.3.18.6, v24.8.14.27, v24.11.5.34, v24.12.5.65, v25.1.5.5 ClickHouse Cloud не подвержен этой уязвимости. Благодарности: Arseniy Dugin

Исправлено в ClickHouse v24.5, 2024-08-01

CVE-2024-6873

Можно перенаправить поток выполнения процесса сервера ClickHouse через неаутентифицированный вектор, отправив специально сформированный запрос в нативный интерфейс сервера ClickHouse. Такое перенаправление ограничено содержимым участка памяти размером 256 байт, доступного в момент выполнения. Эта уязвимость была выявлена в рамках нашей программы Bugbounty, и нам не известно ни о создании, ни об эксплуатации какого-либо Proof of Concept-кода для удалённого выполнения кода (RCE). Исправление выпущено для следующих версий с открытым исходным кодом: v23.8.15.35-lts, v24.3.4.147-lts, v24.4.2.141-stable, v24.5.1.1763, v24.6.1.4423-stable В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено ко всем экземплярам, начиная с v24.2. Благодарности: malacupa (независимый исследователь)

Исправлено в ClickHouse v24.1 от 2024-01-30

CVE-2024-22412

При переключении между пользовательскими ролями в ClickHouse с включенным кэшем запросов существует риск получения некорректных данных. ClickHouse рекомендует пользователям уязвимых версий ClickHouse не использовать кэш запросов, если их приложение динамически переключается между разными ролями. Исправление внесено в следующие open-source версии: v24.1.1.2048, v24.1.8.22-stable, v23.12.6.19-stable, v23.8.12.13-lts, v23.3.22.3-lts В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено в версии v24.0.2.54535. Благодарности: Evan Johnson и Alan Braithwaite из команды Runreveal — дополнительную информацию можно найти в их блоге.

Исправлено в ClickHouse v23.10.5.20, 2023-11-26

CVE-2023-47118

Уязвимость типа переполнение буфера кучи, затрагивающая нативный интерфейс, который по умолчанию работает на порту 9000/tcp. Злоумышленник, спровоцировав ошибку в кодеке сжатия T64, может привести к аварийному завершению процесса сервера ClickHouse. Эту уязвимость можно эксплуатировать без аутентификации. Исправление добавлено в следующие версии с открытым исходным кодом: v23.10.2.13, v23.9.4.11, v23.8.6.16, v23.3.16.7 ClickHouse Cloud использует другую схему версионирования, и исправление этой уязвимости было применено в версии v23.9.2.47475. Благодарности: malacupa (независимый исследователь)

CVE-2023-48298

Уязвимость, связанная с выходом за нижнюю границу диапазона целого числа, в кодеке сжатия FPC. Злоумышленник может использовать её, чтобы аварийно завершить процесс сервера ClickHouse. Для эксплуатации этой уязвимости аутентификация не требуется. Исправление включено в следующие open-source версии: v23.10.4.25, v23.9.5.29, v23.8.7.24, v23.3.17.13. В ClickHouse Cloud используется другая схема версионирования, и исправление этой уязвимости было применено в v23.9.2.47475. Credits: malacupa (независимый исследователь)

CVE-2023-48704

Уязвимость типа переполнение буфера кучи затрагивает нативный интерфейс, который по умолчанию использует порт 9000/tcp. Злоумышленник, вызвав ошибку в кодеке Gorilla, может привести к аварийному завершению процесса сервера ClickHouse. Эту уязвимость можно эксплуатировать без аутентификации. Исправление внесено в следующие версии с открытым исходным кодом: v23.10.5.20, v23.9.6.20, v23.8.8.20, v23.3.18.15. ClickHouse Cloud использует другую схему версионирования, и исправление этой уязвимости было применено в v23.9.2.47551. Благодарность: malacupa (независимый исследователь)

Исправлено в ClickHouse 22.9.1.2603 от 2022-09-22

CVE-2022-44011

В сервере ClickHouse была обнаружена уязвимость, связанная с переполнением буфера кучи. Злоумышленник, имеющий возможность загружать данные в сервер ClickHouse, мог вызвать сбой сервера ClickHouse, выполнив вставку некорректного объекта CapnProto. Исправление внесено в версии 22.9.1.2603, 22.8.2.11, 22.7.4.16, 22.6.6.16, 22.3.12.19 Благодарности: Kiojj (независимый исследователь)

CVE-2022-44010

В сервере ClickHouse обнаружена уязвимость, приводящая к переполнению буфера кучи. Злоумышленник мог отправить специально сформированный HTTP-запрос на HTTP-конечную точку (по умолчанию прослушивающую порт 8123), что вызывало переполнение буфера кучи и приводило к сбою процесса сервера ClickHouse. Для этой атаки аутентификация не требуется. Исправление внесено в версии 22.9.1.2603, 22.8.2.11, 22.7.4.16, 22.6.6.16, 22.3.12.19 Благодарности: Kiojj (независимый исследователь)

Исправлено в ClickHouse 21.10.2.15 от 2021-10-18

CVE-2021-43304

Переполнение буфера кучи в кодеке сжатия LZ4 в ClickHouse при разборе вредоносного запроса. Не проверяется, что операции копирования в цикле LZ4::decompressImpl, и особенно произвольная операция копирования wildCopy<copy_amount>(op, ip, copy_end), не выходят за границы буфера пункта назначения. Благодарности: JFrog Security Research Team

CVE-2021-43305

Переполнение буфера кучи в кодеке сжатия LZ4 в ClickHouse при разборе вредоносного запроса. Отсутствует проверка того, что операции копирования в цикле LZ4::decompressImpl, и в особенности операция произвольного копирования wildCopy<copy_amount>(op, ip, copy_end), не выходят за пределы буфера. Эта проблема очень похожа на CVE-2021-43304, но уязвимая операция копирования находится в другом вызове wildCopy. Благодарности: JFrog Security Research Team

CVE-2021-42387

Чтение за пределами буфера в куче в кодеке сжатия LZ4 ClickHouse при разборе вредоносного запроса. В цикле LZ4::decompressImpl() из сжатых данных считывается 16-битное беззнаковое значение (‘offset’), заданное пользователем. Впоследствии offset используется для вычисления длины операции копирования без проверки верхних границ источника копирования. Благодарность: JFrog Security Research Team

CVE-2021-42388

Чтение за пределами буфера кучи в кодеке сжатия LZ4 ClickHouse при разборе вредоносного запроса. В цикле LZ4::decompressImpl() из сжатых данных считывается 16-битное беззнаковое значение, заданное пользователем (‘offset’). Впоследствии offset используется при вычислении длины операции копирования без проверки нижней границы источника копирования. Обнаружено командой JFrog Security Research Team

CVE-2021-42389

Деление на ноль в кодеке сжатия Delta в ClickHouse при разборе вредоносного запроса. Первый байт сжатого буфера используется в операции вычисления остатка от деления без проверки на 0. Благодарности: JFrog Security Research Team

CVE-2021-42390

Деление на ноль в кодеке сжатия DeltaDouble в ClickHouse при разборе вредоносного запроса. Первый байт сжатого буфера используется в операции взятия по модулю без проверки на 0. Авторы исследования: JFrog Security Research Team

CVE-2021-42391

Деление на ноль в кодеке сжатия Gorilla в ClickHouse при парсинге вредоносного запроса. Первый байт сжатого буфера используется в операции вычисления по модулю без проверки на 0. Благодарность: команда JFrog Security Research

Исправлено в ClickHouse 21.4.3.21, 2021-04-12

CVE-2021-25263

Злоумышленник, имеющий привилегию CREATE DICTIONARY, может прочитать произвольный файл за пределами разрешённого каталога. Исправление внесено в версии 20.8.18.32-lts, 21.1.9.41-stable, 21.2.9.41-stable, 21.3.6.55-lts, 21.4.3.21-stable и более поздние. Благодарность: Vyacheslav Egoshin

Исправлено в релизе ClickHouse 19.14.3.3, 2019-09-10

CVE-2019-15024

Злоумышленник, имеющий доступ на запись в ZooKeeper и способный запустить собственный сервер, доступный из сети, в которой работает ClickHouse, может создать специально подготовленный вредоносный сервер, который будет выступать в роли реплики ClickHouse, и зарегистрировать его в ZooKeeper. Когда другая реплика будет получать часть данных с вредоносной реплики, это может заставить clickhouse-server записать данные по произвольному пути в файловой системе. Благодарность: Eldar Zaitov из команды информационной безопасности Яндекса

CVE-2019-16535

Уязвимости чтения за пределами буфера (OOB read), записи за пределами буфера (OOB write) и выход за нижнюю границу диапазона целого числа в алгоритмах декомпрессии могут использоваться для выполнения RCE- или DoS-атак через собственный протокол. Благодарности: Eldar Zaitov, команда информационной безопасности Яндекса

CVE-2019-16536

Переполнение стека, приводящее к DoS, может быть вызвано злоумышленным клиентом, прошедшим аутентификацию. Благодарности: Eldar Zaitov из команды информационной безопасности Яндекса

Исправлено в релизе ClickHouse 19.13.6.1 от 2019-09-20

CVE-2019-18657

В табличной функции url была уязвимость, позволявшая злоумышленнику внедрять в запрос произвольные HTTP-заголовки. Благодарности: Nikita Tikhomirov

Исправлено в релизе ClickHouse 18.12.13 от 2018-09-10

CVE-2018-14672

Функции загрузки моделей CatBoost допускали обход path и чтение произвольных файлов через сообщения об ошибках. Credits: Andrey Krasichkov, Yandex Information Security Team

Исправлено в релизе ClickHouse 18.10.3, 2018-08-13

CVE-2018-14671

unixODBC позволял загружать из файловой системы произвольные разделяемые библиотеки, что приводило к уязвимости удалённого выполнения кода. Благодарности: Andrey Krasichkov и Evgeny Sidorov из команды информационной безопасности Яндекса

Исправлено в релизе ClickHouse 1.1.54388, 2018-06-28

CVE-2018-14668

Табличная функция “remote” допускала использование произвольных символов в полях “user”, “password” и “default_database”, что приводило к атакам межпротокольной подделки запросов. Благодарность: Andrey Krasichkov, Yandex Information Security Team

Исправлено в релизе ClickHouse 1.1.54390, 2018-07-06

CVE-2018-14669

В MySQL-клиенте ClickHouse была включена функция “LOAD DATA LOCAL INFILE”, которая позволяла вредоносной базе данных MySQL читать произвольные файлы с подключенного сервера ClickHouse. Credits: Andrey Krasichkov и Evgeny Sidorov, команда информационной безопасности Yandex

Исправлено в релизе ClickHouse 1.1.54131, 2017-01-10

CVE-2018-14670

Некорректная конфигурация в пакете deb могла привести к несанкционированному использованию базы данных. Заслуга в обнаружении: Национальный центр кибербезопасности Великобритании (NCSC)

​Исправлено в ClickHouse v25.1.5.5, 2025-01-05

​CVE-2025-1385

​Исправлено в ClickHouse v24.5, 2024-08-01

​CVE-2024-6873

​Исправлено в ClickHouse v24.1 от 2024-01-30

​CVE-2024-22412

​Исправлено в ClickHouse v23.10.5.20, 2023-11-26

​CVE-2023-47118

​CVE-2023-48298

​CVE-2023-48704

​Исправлено в ClickHouse 22.9.1.2603 от 2022-09-22

​CVE-2022-44011

​CVE-2022-44010

​Исправлено в ClickHouse 21.10.2.15 от 2021-10-18

​CVE-2021-43304

​CVE-2021-43305

​CVE-2021-42387

​CVE-2021-42388

​CVE-2021-42389

​CVE-2021-42390

​CVE-2021-42391

​Исправлено в ClickHouse 21.4.3.21, 2021-04-12

​CVE-2021-25263

​Исправлено в релизе ClickHouse 19.14.3.3, 2019-09-10

​CVE-2019-15024

​CVE-2019-16535

​CVE-2019-16536

​Исправлено в релизе ClickHouse 19.13.6.1 от 2019-09-20

​CVE-2019-18657

​Исправлено в релизе ClickHouse 18.12.13 от 2018-09-10

​CVE-2018-14672

​Исправлено в релизе ClickHouse 18.10.3, 2018-08-13

​CVE-2018-14671

​Исправлено в релизе ClickHouse 1.1.54388, 2018-06-28

​CVE-2018-14668

​Исправлено в релизе ClickHouse 1.1.54390, 2018-07-06

​CVE-2018-14669

​Исправлено в релизе ClickHouse 1.1.54131, 2017-01-10

​CVE-2018-14670