Уязвимость в Apache Airflow позволяет получить доступ к постороннему веб-серверу

На Openwall появился пост, в котором было опубликовано письмо специалиста по безопасности из Delivery Hero Korea Чон Хан Ли. В нём он рассказал об уязвимости, найденной им в популярном workflow-менеджере Apache Airflow. 

По словам эксперта по кибербезопасности, некорректная валидация сессии, при использовании дефолтного файла конфигурации, приводила к следующей неприятной ситуации. Пользователь на сайте А, получал несанкционированный доступ к веб-серверу Airflow на сайте Б через сессию на сайте А.

Достаточно изменить значение «[webserver] secret_key» в файле airflow.cfg, чтобы проблема была решена

Сообщается, что всё это стало реальным из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является одинаковым абсолютно для всех установок. То есть достаточно изменить дефолтный файл конфигурации Airflow и проблема перестанет быть актуальной.

Источник: Openwall

Источник: tproger.ru

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
luxmad.ru
Добавить комментарий