Уязвимость в Apache Airflow позволяет получить доступ к постороннему веб-серверу
Но достаточно исправить один-единственный файл конфигурации, чтобы уязвимость сошла на нет.
На Openwall появился пост, в котором было опубликовано письмо специалиста по безопасности из Delivery Hero Korea Чон Хан Ли. В нём он рассказал об уязвимости, найденной им в популярном workflow-менеджере Apache Airflow.
По словам эксперта по кибербезопасности, некорректная валидация сессии, при использовании дефолтного файла конфигурации, приводила к следующей неприятной ситуации. Пользователь на сайте А, получал несанкционированный доступ к веб-серверу Airflow на сайте Б через сессию на сайте А.
Сообщается, что всё это стало реальным из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является одинаковым абсолютно для всех установок. То есть достаточно изменить дефолтный файл конфигурации Airflow и проблема перестанет быть актуальной.
Источник: Openwall
608 открытий609 показов
Как организовать систему безопасной разработки ПО в компании и с какими самыми частыми ошибками приходится сталкиваться.
Рассказали о Поле Ле Ру, которого считают создателем TrueCrypt и Биткойна, который торговал наркотиками и оружием с Ираном, Израилем и КНДР.
В этой статье мы поговорим о том, как обеспечить безопасность вашего телеграм-бота на Python, чтобы избежать спама, фишинга и DDoS-атак.
Редактирование текстов, перевод с озвучкой и саммари видео — новые нейронки в Яндекс.Браузере.