The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

22.12.2020 11:19

Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.

В качестве обходного пути блокирования уязвимости рекомендуется изменить значение "[webserver] secret_key" в файле конфигурации (по умолчанию используется "temporary_key"). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках Airflow устранены две проблемы в приложении Flask App, связанные с использованием предсказуемого секретного ключа.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз http-сервера Apache 2.4.46 с устранением уязвимостей
  3. OpenNews: Уязвимость в Apache Tomcat, допускающая удалённое выполнение кода
  4. OpenNews: Уязвимости в механизме автообновления Apache NetBeans
  5. OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
  6. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54298-apache
Ключевые слова: apache, airflow
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, хацкер (ok), 11:33, 22/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    уязвимости — это хорошо, банальные — ещё лучше; без работы не останемся ;)
     
     
  • 2.16, Дохтар (?), 17:40, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Болезни — это хорошо, банальные — ещё лучше; без работы не останемся ;)

    Уязвимости в головах, подобной вашей и тем кто ставит подобной ахинее лайки, также неплохо кормят психологов.
    Рекомендую воспользоваться помощью квалифицированного специалиста.

     
     
  • 3.18, хацкер (ok), 18:56, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ох, как у вас подгорело, сударь -- люди смотрят на вашу обитель и звонят 01 (не 03, к слову)
     
     
  • 4.19, Дохтар (?), 22:17, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Упражняешся в генерации ахинеи?
    "Подгорания" уже пошли и прочее подростковое.
    Первая засветка была вполне убедительной, нет смысла демонстрировать многократно одно и тоже.
     
     
  • 5.22, Эни О Ним (?), 10:27, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1 Топик стартер мог быть более развит.
     
     
  • 6.25, Дохтар (?), 11:39, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Жертвы посткапитализма не способны на это.
    Поэтому и выдают подобные ментальные выделения.
     
     
  • 7.28, Поциэнтэ (?), 11:56, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дохтар, памаги
     

  • 1.2, ИмяХ (?), 11:38, 22/12/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –9 +/
     
     
  • 2.3, Дедушка Анонимуса (?), 11:40, 22/12/2020 Скрыто модератором
  • +5 +/
     
     
  • 3.4, Аноним (4), 11:49, 22/12/2020 Скрыто модератором
  • +/
     
  • 3.5, Аноним (5), 11:52, 22/12/2020 Скрыто модератором
  • +1 +/
     
     
  • 4.6, Анан (?), 11:58, 22/12/2020 Скрыто модератором
  • +/
     
     
  • 5.7, rioko (?), 12:06, 22/12/2020 Скрыто модератором
  • +6 +/
     

     ....ответы скрыты модератором (5)

  • 1.8, Аноним (8), 12:12, 22/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Такие проблемы всегда были и будут. Разрабы никогда их не решат, потому что автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным. Поэтому ВСЕГДА после установки любого софта имеет смысл пробежаться по настройкам и конфигам и проставить всё в нужное значение.
     
     
  • 2.11, xi (??), 13:48, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Генерируется элементарно:
    -----
    if grep -q "^SECRET_KEY = 'invalid'" $CONFIG_PATH; then                                                                                    
        sed -ri "s#(SECRET_KEY = ').+#\1$(openssl rand -base64 48)'#" $CONFIG_PATH                                                              
    fi
    -----
    типичный код, взятый из скрипта инициализации в своих проектах.
    Как можно меньше ожиданий от пользователя, потому что человеческий фактор будет всегда.
     
     
  • 3.13, Anonymou (?), 15:42, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Grep && sed...
    Зачем ещё ифы?
     
     
  • 4.15, Седоним (?), 17:27, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    один sed, зачем grep?
     
     
  • 5.26, xi (??), 11:41, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "sed -i ...", даже ничего не сделавший, затрагивает время модификации файла - это фигня, если скрипт запускается один раз. но из-за скрипта, выполняющегося при запуске контейнера, это будет привлекать внимание к тому, что файл конфигурации будто бы кем-то изменён, хотя это не так.
     
  • 4.17, Аноним (17), 18:18, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для читаемости.
     
  • 4.24, Эни О Ним (?), 10:34, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Grep && sed...
    > Зачем ещё ифы?

    Т.к. иначе плохо работает в отладочном режиме для шелл скриптов. Написание с if меньше удивляет, но надёжнее работает, переносимо из кода в код легче.  А остроумие в глопом смысле с && - лишнее упражнение.

     
  • 4.27, xi (??), 11:51, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    многие проекты пишутся не для себя, и отдавать лучше в читаемом виде ("$()" - это известная подстановка, если что).
    кроме того, если в оболочке ставится флаг "-e", то "&&" может заметно усложнить понимание потока выполнения даже для себя.
     
  • 2.23, Эни О Ним (?), 10:31, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разрабы никогда их не решат
    > автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным

    Эта проблема лечится элементарно. В школе или родители.

    Называется лень и бескултурье. В ИТ этого хлама по самые ноздри. Увы и ах. И дело всего-то только немного напрягаться в малом.

    Ну, обыкновенное: в жизни нужно мучаться. Фокус в том, что мучаться немного, посильно, не уничтожая себя, а развивая.

    Так что - есть решение проблемы.

     
     
  • 3.29, rico (ok), 14:13, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И это, как ни странно, DevOps. Когда грамотные админы приходят к разрабам и учат как делать правильно.
     
     
  • 4.30, Аноним (30), 22:27, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно происходит наоборот.
     

  • 1.9, InuYasha (??), 12:14, 22/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ошибка, исправляемая одной строчкой в конфиге. Но комментаторам ЯП не сидится )
     
     
  • 2.10, Аноним (10), 13:35, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это пиар системд, мол, с /etc/machine-id такого бы не было. Всем срочно встроить dbus в свои продукты!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру