Forskere ved Horizon3 har bemærket sikkerhedsproblemer i de fleste installationer af Apache Superset-dataanalyse- og visualiseringsplatformen. På 2124 ud af 3176 undersøgte offentlige Apache Superset-servere blev brugen af den generiske krypteringsnøgle, der er angivet som standard i eksempelkonfigurationsfilen, registreret. Denne nøgle bruges i Flask Python-biblioteket til at generere sessionscookies, som gør det muligt for en angriber, der kender nøglen, at generere fiktive sessionsparametre, oprette forbindelse til Apache Superset-webgrænsefladen og indlæse data fra bundne databaser eller organisere kodeudførelse med Apache Superset-rettigheder .
Interessant nok informerede forskerne først udviklerne om problemet tilbage i 2021, hvorefter, i udgivelsen af Apache Superset 1.4.1, dannet i januar 2022, blev værdien af parameteren SECRET_KEY erstattet med strengen "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", en check. blev tilføjet til koden, hvis denne værdi udsender en advarsel til loggen.
I februar i år besluttede forskere at genscanne sårbare systemer og fandt ud af, at få mennesker er opmærksomme på advarslen, og 67 % af Apache Superset-servere fortsætter stadig med at bruge nøgler fra konfigurationseksempler, implementeringsskabeloner eller dokumentation. Samtidig var nogle store virksomheder, universiteter og offentlige myndigheder blandt de organisationer, der brugte standardnøgler.
Angivelse af en arbejdsnøgle i eksempelkonfigurationen opfattes nu som en sårbarhed (CVE-2023-27524), som er rettet i udgivelsen af Apache Superset 2.1 gennem output af en fejl, der blokerer lanceringen af platformen ved brug af den angivne nøgle i eksemplet (kun den nøgle, der er angivet i konfigurationseksemplet for den aktuelle version, tages i betragtning, gamle typenøgler og nøgler fra skabeloner og dokumentation er ikke blokeret). Et særligt script er blevet foreslået til at kontrollere for en sårbarhed over netværket.
Kilde: opennet.ru