24.01.2021

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах


Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.

В качестве обходного пути блокирования уязвимости рекомендуется изменить значение «[webserver] secret_key» в файле конфигурации (по умолчанию испльзуется «temporary_key»). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках Airflow устранены две проблемы в приложении Flask App, связанные с использованием предсказуемого секретного ключа.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54298

Добавить комментарий