Автор:
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
В качестве обходного пути блокирования уязвимости рекомендуется изменить значение «[webserver] secret_key» в файле конфигурации (по умолчанию испльзуется «temporary_key»). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках Airflow устранены две проблемы в приложении Flask App, связанные с использованием предсказуемого секретного ключа.
Источник: https://www.opennet.ru/opennews/art.shtml?num=54298
