Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 7 месяцев
Сообщений: 27286

news_bot ^® написал(а)
22-Дек-2020 13:30

Цитировать

Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
В качестве обходного пути блокирования уязвимости рекомендуется изменить значение "[webserver] secret_key" в файле конфигурации (по умолчанию испльзуется "temporary_key"). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках Airflow устранены две проблемы в приложении Flask App, связанные с использованием предсказуемого секретного ключа.
===========
Источник:
OpenNet.RU
===========

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

Похожие новости