Navorsers van Horizon3 het die aandag gevestig op sekuriteitsprobleme in die meeste installasies van die Apache Superset-data-analise- en visualiseringsplatform. Op 2124 uit 3176 publieke bedieners wat met Apache Superset bestudeer is, is die gebruik van die standaard enkripsiesleutel wat by verstek in die voorbeeldkonfigurasielêer gespesifiseer is, bespeur. Hierdie sleutel word in die Flask Python-biblioteek gebruik om sessiekoekies te genereer, wat 'n aanvaller wat die sleutel ken toelaat om fiktiewe sessieparameters te genereer, aan die Apache Superset-webkoppelvlak te koppel en data vanaf gekoppelde databasisse te laai, of kode-uitvoering met Apache Superset-regte te organiseer. .
Interessant genoeg het die navorsers die ontwikkelaars aanvanklik in 2021 oor die probleem ingelig, waarna in die vrystelling van Apache Superset 1.4.1, wat in Januarie 2022 gevorm is, die waarde van die SECRET_KEY parameter vervang is met die reël "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", 'n tjek was by die kode gevoeg, as hierdie waardes 'n waarskuwing aan die log uitstuur.
In Februarie vanjaar het navorsers besluit om die skandering van kwesbare stelsels te herhaal en is gekonfronteer met die feit dat min mense aandag gegee het aan die waarskuwing en 67% van Apache Superset-bedieners het steeds aangehou om sleutels van konfigurasievoorbeelde, ontplooiingssjablone of dokumentasie te gebruik. Terselfdertyd was sommige groot maatskappye, universiteite en regeringsagentskappe onder die organisasies wat versteksleutels gebruik.
Die spesifikasie van 'n werksleutel in 'n voorbeeldkonfigurasie word nou as 'n kwesbaarheid (CVE-2023-27524) beskou, wat in die vrystelling van Apache Superset 2.1 reggestel is deur die uitvoer van 'n fout wat die platform verhinder om te begin wanneer die sleutel gespesifiseer in gebruik word die voorbeeld (slegs die sleutel wat in die voorbeeldkonfigurasie van die huidige weergawe gespesifiseer word, word in ag geneem, ou standaardsleutels en sleutels van sjablone en dokumentasie word nie geblokkeer nie). 'n Spesiale skrif is voorgestel om te kyk vir die teenwoordigheid van kwesbaarhede oor die netwerk.
Bron: opennet.ru