The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Apache Airflow, допускающая использование одного сеанса на  разных серверах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Airflow, допускающая использование одного сеанса на  разных серверах"  +/
Сообщение от opennews (ok), 22-Дек-20, 11:33 
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость  позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg  временного ключа, одинакового  для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54298

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Apache Airflow, допускающая использование одног..."  –1 +/
Сообщение от хацкер (ok), 22-Дек-20, 11:33 
уязвимости — это хорошо, банальные — ещё лучше; без работы не останемся ;)
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Apache Airflow, допускающая использование одног..."  –1 +/
Сообщение от Дохтар (?), 22-Дек-20, 17:40 
Болезни — это хорошо, банальные — ещё лучше; без работы не останемся ;)

Уязвимости в головах, подобной вашей и тем кто ставит подобной ахинее лайки, также неплохо кормят психологов.
Рекомендую воспользоваться помощью квалифицированного специалиста.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от хацкер (ok), 22-Дек-20, 18:56 
ох, как у вас подгорело, сударь -- люди смотрят на вашу обитель и звонят 01 (не 03, к слову)
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Apache Airflow, допускающая использование одног..."  –1 +/
Сообщение от Дохтар (?), 22-Дек-20, 22:17 
Упражняешся в генерации ахинеи?
"Подгорания" уже пошли и прочее подростковое.
Первая засветка была вполне убедительной, нет смысла демонстрировать многократно одно и тоже.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Apache Airflow, допускающая использование одног..."  +1 +/
Сообщение от Эни О Ним (?), 23-Дек-20, 10:27 
+1 Топик стартер мог быть более развит.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Apache Airflow, допускающая использование одног..."  –1 +/
Сообщение от Дохтар (?), 23-Дек-20, 11:39 
Жертвы посткапитализма не способны на это.
Поэтому и выдают подобные ментальные выделения.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от Поциэнтэ (?), 23-Дек-20, 11:56 
Дохтар, памаги
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –9 +/
Сообщение от ИмяХ (?), 22-Дек-20, 11:38 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +5 +/
Сообщение от Дедушка Анонимуса (?), 22-Дек-20, 11:40 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +/
Сообщение от Аноним (4), 22-Дек-20, 11:49 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +1 +/
Сообщение от Аноним (5), 22-Дек-20, 11:52 
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. Скрыто модератором  +/
Сообщение от Анан (?), 22-Дек-20, 11:58 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +6 +/
Сообщение от rioko (?), 22-Дек-20, 12:06 
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Apache Airflow, допускающая использование одног..."  +1 +/
Сообщение от Аноним (8), 22-Дек-20, 12:12 
Такие проблемы всегда были и будут. Разрабы никогда их не решат, потому что автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным. Поэтому ВСЕГДА после установки любого софта имеет смысл пробежаться по настройкам и конфигам и проставить всё в нужное значение.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Apache Airflow, допускающая использование одног..."  +2 +/
Сообщение от xi (??), 22-Дек-20, 13:48 
Генерируется элементарно:
-----
if grep -q "^SECRET_KEY = 'invalid'" $CONFIG_PATH; then                                                                                    
    sed -ri "s#(SECRET_KEY = ').+#\1$(openssl rand -base64 48)'#" $CONFIG_PATH                                                              
fi
-----
типичный код, взятый из скрипта инициализации в своих проектах.
Как можно меньше ожиданий от пользователя, потому что человеческий фактор будет всегда.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Apache Airflow, допускающая использование одног..."  +1 +/
Сообщение от Anonymou (?), 22-Дек-20, 15:42 
Grep && sed...
Зачем ещё ифы?
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Apache Airflow, допускающая использование одног..."  +1 +/
Сообщение от Седоним (?), 22-Дек-20, 17:27 
один sed, зачем grep?
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от xi (??), 23-Дек-20, 11:41 
"sed -i ...", даже ничего не сделавший, затрагивает время модификации файла - это фигня, если скрипт запускается один раз. но из-за скрипта, выполняющегося при запуске контейнера, это будет привлекать внимание к тому, что файл конфигурации будто бы кем-то изменён, хотя это не так.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Apache Airflow, допускающая использование одног..."  +2 +/
Сообщение от Аноним (17), 22-Дек-20, 18:18 
Для читаемости.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в Apache Airflow, допускающая использование одног..."  +2 +/
Сообщение от Эни О Ним (?), 23-Дек-20, 10:34 
> Grep && sed...
> Зачем ещё ифы?

Т.к. иначе плохо работает в отладочном режиме для шелл скриптов. Написание с if меньше удивляет, но надёжнее работает, переносимо из кода в код легче.  А остроумие в глопом смысле с && - лишнее упражнение.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от xi (??), 23-Дек-20, 11:51 
многие проекты пишутся не для себя, и отдавать лучше в читаемом виде ("$()" - это известная подстановка, если что).
кроме того, если в оболочке ставится флаг "-e", то "&&" может заметно усложнить понимание потока выполнения даже для себя.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

23. "Уязвимость в Apache Airflow, допускающая использование одног..."  +1 +/
Сообщение от Эни О Ним (?), 23-Дек-20, 10:31 
> Разрабы никогда их не решат
> автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным

Эта проблема лечится элементарно. В школе или родители.

Называется лень и бескултурье. В ИТ этого хлама по самые ноздри. Увы и ах. И дело всего-то только немного напрягаться в малом.

Ну, обыкновенное: в жизни нужно мучаться. Фокус в том, что мучаться немного, посильно, не уничтожая себя, а развивая.

Так что - есть решение проблемы.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

29. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от rico (ok), 23-Дек-20, 14:13 
И это, как ни странно, DevOps. Когда грамотные админы приходят к разрабам и учат как делать правильно.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от Аноним (30), 23-Дек-20, 22:27 
Обычно происходит наоборот.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Apache Airflow, допускающая использование одног..."  +/
Сообщение от InuYasha (??), 22-Дек-20, 12:14 
Ошибка, исправляемая одной строчкой в конфиге. Но комментаторам ЯП не сидится )
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Apache Airflow, допускающая использование одног..."  –2 +/
Сообщение от Аноним (10), 22-Дек-20, 13:35 
Это пиар системд, мол, с /etc/machine-id такого бы не было. Всем срочно встроить dbus в свои продукты!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру