Список изменений безопасности
Исправлено в YDB 22.4.44, 2022-11-28
CVE-2022-28228
В сервере YDB обнаружено чтение за пределами допустимого адресного пространства. Злоумышленник с помощью специально сконструированного запроса с оператором insert может получить доступ к конфиденциальной информации или вызвать сбой.
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28228.
Обнаружено благодаря Максиму Арнольду.
Исправлено в YDB Go SDK v3.53.3, 2023-10-17
CVE-2023-45825
Токен авторизации может утекать через логи
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45825.
Обнаружено благодаря Сергею Фостер.