Istraživači u Horizon3 su primijetili sigurnosne probleme u većini instalacija Apache Superset platforme za analizu i vizualizaciju podataka. Na 2124 od 3176 Apache Superset javnih servera koji su proučavani, otkrivena je upotreba generičkog ključa za šifrovanje specificiranog prema zadanim postavkama u datoteci uzorka konfiguracije. Ovaj ključ se koristi u biblioteci Flask Python za generiranje kolačića sesije, što omogućava napadaču koji poznaje ključ da generiše fiktivne parametre sesije, da se poveže na Apache Superset web interfejs i učita podatke iz vezanih baza podataka ili da organizuje izvršavanje koda sa Apache Superset pravima .
Zanimljivo je da su istraživači prvobitno prijavili problem programerima još 2021. godine, nakon čega je, u izdanju Apache Superseta 1.4.1, formiranog u januaru 2022., vrijednost parametra SECRET_KEY zamijenjena nizom "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", izvršena je provjera. dodano kodu, ako ova vrijednost daje upozorenje u dnevnik.
U februaru ove godine, istraživači su odlučili da ponovo skeniraju ranjive sisteme i otkrili su da malo ljudi obraća pažnju na upozorenje, a 67% Apache Superset servera i dalje koristi ključeve iz primera konfiguracije, šablona za implementaciju ili dokumentacije. U isto vrijeme, neke velike kompanije, univerziteti i vladine agencije bile su među organizacijama koje koriste zadane ključeve.
Navođenje radnog ključa u konfiguraciji uzorka sada se doživljava kao ranjivost (CVE-2023-27524), koja je ispravljena u izdanju Apache Superseta 2.1 kroz izlaz greške koja blokira pokretanje platforme kada se koristi specificirani ključ u primjeru (u obzir se uzima samo ključ naveden u primjeru konfiguracije trenutne verzije, ključevi starog tipa i ključevi iz šablona i dokumentacije nisu blokirani). Predložena je posebna skripta za provjeru ranjivosti preko mreže.
izvor: opennet.ru