CVE-2021-25263

Versões do ClickHouse anteriores à v20.8.18.32-lts

Versões do ClickHouse anteriores à v21.1.9.41-stable

Versões do ClickHouse anteriores à v21.2.9.41-stable

Versões do ClickHouse anteriores à v21.3.6.55-lts

Versões do ClickHouse anteriores à v21.4.3.21-stable

Versões do Yandex Browser para Windows anteriores à 21.9.0.390

A vulnerabilidade está relacionada à divulgação de informações e permite que um invasor remoto acesse dados confidenciais. Ela também envolve uma vulnerabilidade de privilégios locais que permite que um invasor local com privilégios limitados execute código arbitrário com privilégios de SISTEMA ao manipular arquivos em um diretório com permissões inseguras durante o processo de atualização do Yandex Browser. Um invasor com privilégio CREATE DICTIONARY pode ler arquivos arbitrários fora do diretório permitido.

Para versões do ClickHouse anteriores à v20.8.18.32-lts, atualize para a versão v20.8.18.32-lts ou posterior.

Para versões do ClickHouse anteriores à v21.1.9.41-stable, atualize para a versão v21.1.9.41-stable ou posterior.

Para versões do ClickHouse anteriores à v21.2.9.41-stable, atualize para a versão v21.2.9.41-stable ou posterior.

Para versões do ClickHouse anteriores à v21.3.6.55-lts, atualize para a versão v21.3.6.55-lts ou posterior.

Para versões do ClickHouse anteriores à v21.4.3.21-stable, atualize para a versão v21.4.3.21-stable ou posterior.

Para versões do Yandex Browser para Windows anteriores à 21.9.0.390, atualize para a versão 21.9.0.390 ou posterior.

Como solução alternativa temporária, considere restringir o privilégio CREATE DICTIONARY