Уязвимость в Apache Airflow позволяет получить доступ к постороннему веб-серверу

Проблема связана с некорректной проверкой сеансов в конфигурациях с дефолтными настройками.

На Openwall появился пост, в котором было опубликовано письмо специалиста по безопасности из Delivery Hero Korea Чон Хан Ли. В нём он рассказал об уязвимости, найденной им в популярном workflow-менеджере Apache Airflow. 

По словам эксперта по кибербезопасности, некорректная валидация сессии, при использовании дефолтного файла конфигурации, приводила к следующей неприятной ситуации. Пользователь на сайте А, получал несанкционированный доступ к веб-серверу Airflow на сайте Б через сессию на сайте А.



Достаточно изменить значение «[webserver] secret_key» в файле airflow.cfg, чтобы проблема была решена

Сообщается, что всё это стало реальным из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является одинаковым абсолютно для всех установок. То есть достаточно изменить дефолтный файл конфигурации Airflow и проблема перестанет быть актуальной.

Источник: Openwall