Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
22-Дек-2020 13:30

Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
В качестве обходного пути блокирования уязвимости рекомендуется изменить значение "[webserver] secret_key" в файле конфигурации (по умолчанию испльзуется "temporary_key"). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках Airflow устранены две проблемы в приложении Flask App, связанные с использованием предсказуемого секретного ключа.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_apache, #_airflow
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 02:47
Часовой пояс: UTC + 5