Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

Уязвимость в Apache Airflow позволяет получить доступ к постороннему веб-серверу

Новости

Проблема связана с некорректной проверкой сеансов в конфигурациях с дефолтными настройками.

610 открытий613 показов

На Openwall появился пост, в котором было опубликовано письмо специалиста по безопасности из Delivery Hero Korea Чон Хан Ли. В нём он рассказал об уязвимости, найденной им в популярном workflow-менеджере Apache Airflow. 

По словам эксперта по кибербезопасности, некорректная валидация сессии, при использовании дефолтного файла конфигурации, приводила к следующей неприятной ситуации. Пользователь на сайте А, получал несанкционированный доступ к веб-серверу Airflow на сайте Б через сессию на сайте А.

Уязвимость в Apache Airflow позволяет получить доступ к постороннему веб-серверу 1

Сообщается, что всё это стало реальным из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является одинаковым абсолютно для всех установок. То есть достаточно изменить дефолтный файл конфигурации Airflow и проблема перестанет быть актуальной.

Источник: Openwall

Следите за новыми постами
Следите за новыми постами по любимым темам
610 открытий613 показов