የሆራይዞን3 ተመራማሪዎች በአብዛኛዎቹ የApache Superset ውሂብ ትንተና እና ምስላዊ መድረክ ላይ የደህንነት ጉዳዮችን አስተውለዋል። በ2124 ከ3176 Apache Superset የህዝብ አገልጋዮች ጥናት በናሙና ውቅረት ፋይሉ ውስጥ በነባሪነት የተገለጸውን አጠቃላይ የኢንክሪፕሽን ቁልፍ መጠቀም ተገኝቷል። ይህ ቁልፍ የክፍለ ጊዜ ኩኪዎችን ለማመንጨት በፍላስክ ፓይዘን ላይብረሪ ውስጥ ጥቅም ላይ ይውላል፣ይህም ቁልፉን የሚያውቅ አጥቂ የውሸት ክፍለ ጊዜ መለኪያዎችን እንዲያመነጭ፣ ከ Apache Superset ድር በይነገጽ ጋር እንዲገናኝ እና ውሂብን ከታሰረ የውሂብ ጎታዎች እንዲጭን ወይም ኮድ አፈጻጸምን በ Apache Superset መብቶች እንዲያደራጅ ያስችለዋል። .
የሚገርመው ነገር፣ ተመራማሪዎቹ በ2021 ስለ ችግሩ መጀመሪያ ለገንቢዎቹ አሳውቀዋል፣ ከዚያ በኋላ፣ በጃንዋሪ 1.4.1 በተቋቋመው Apache Superset 2022 ሲለቀቅ፣ የ SECRET_KEY ግቤት ዋጋ በ "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" ሕብረቁምፊ ተተካ ፣ ቼክ ይህ ዋጋ ለምዝግብ ማስታወሻው ማስጠንቀቂያ ከሰጠ ወደ ኮዱ ታክሏል።
በዚህ ዓመት በየካቲት ወር ተመራማሪዎች ተጋላጭ የሆኑ ስርዓቶችን እንደገና ለመፈተሽ ወሰኑ እና ጥቂት ሰዎች ለማስጠንቀቂያው ትኩረት እንደሚሰጡ ተገንዝበዋል እና 67% የ Apache Superset አገልጋዮች አሁንም ቁልፎችን ከውቅረት ምሳሌዎች ፣ የማሰማራት አብነቶች ወይም ሰነዶች መጠቀማቸውን ቀጥለዋል። በተመሳሳይ ጊዜ, አንዳንድ ትላልቅ ኩባንያዎች, ዩኒቨርሲቲዎች እና የመንግስት ኤጀንሲዎች ነባሪ ቁልፎችን ከሚጠቀሙ ድርጅቶች መካከል ነበሩ.
በናሙና ውቅር ውስጥ የሚሰራ ቁልፍን መግለጽ አሁን እንደ ተጋላጭነት (CVE-2023-27524) ተገንዝቧል፣ ይህም በ Apache Superset 2.1 መለቀቅ ላይ የተገለጸውን ቁልፍ ሲጠቀሙ የመድረኩን መጀመር በሚያግድ ስህተት አማካኝነት ተስተካክሏል። በምሳሌው ውስጥ (በአሁኑ ስሪት የውቅር ምሳሌ ውስጥ የተገለጸው ቁልፍ ብቻ ግምት ውስጥ ይገባል ፣ የድሮ ዓይነት ቁልፎች እና ቁልፎች ከአብነቶች እና ሰነዶች አይታገዱም)። በአውታረ መረቡ ላይ ያለውን ተጋላጭነት ለመፈተሽ ልዩ ስክሪፕት ቀርቧል።
ምንጭ: opennet.ru