Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственныйсервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
Злоумышленник с доступом на запись к ZooKeeper и возможностью запустить собственныйсервер в сети доступной ClickHouse может создать вредоносный сервер, который будет вести себя как реплика ClickHouse и зарегистрируется в ZooKeeper. В процессе репликации вредоносный сервер может указать любой путь на файловой системе в который будут записаны данные.
Обнаружено благодаря: Эльдару Заитову из Службы Информационной Безопасности Яндекса