Esploristoj ĉe Horizon3 rimarkis sekurecproblemojn en la plej multaj instalaĵoj de la Apache Superset-analizo kaj bildigadplatformo. Sur 2124 el 3176 Apache Superset publikaj serviloj studitaj, la uzo de la senmarka ĉifrada ŝlosilo specifita defaŭlte en la specimena agorda dosiero estis detektita. Ĉi tiu ŝlosilo estas uzata en la biblioteko de Flask Python por generi sesiajn kuketojn, kio permesas al atakanto, kiu konas la ŝlosilon, generi fikciajn seancajn parametrojn, konekti al la interfaco de Apache Superset kaj ŝarĝi datumojn de ligitaj datumbazoj, aŭ organizi kodan ekzekuton kun rajtoj de Apache Superset. .
Kurioze, la esploristoj komence raportis la problemon al programistoj reen en 2021, post kio, en la eldono de Apache Superset 1.4.1, formita en januaro 2022, la valoro de la parametro SECRET_KEY estis anstataŭigita per la ĉeno "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", kontrolo estis. aldonita al la kodo, se ĉi tio valoras eligi averton al la protokolo.
En februaro de ĉi tiu jaro, esploristoj decidis reskani vundeblajn sistemojn kaj trovis, ke malmultaj homoj atentas la averton kaj 67% de Apache Superset-serviloj ankoraŭ daŭre uzas ŝlosilojn de agordaj ekzemploj, deplojŝablonoj aŭ dokumentaro. En la sama tempo, kelkaj grandaj firmaoj, universitatoj kaj registaragentejoj estis inter la organizoj uzantaj defaŭltajn ŝlosilojn.
Specifado de laborŝlosilo en la specimena agordo nun estas perceptita kiel vundebleco (CVE-2023-27524), kiu estas riparita en la eldono de Apache Superset 2.1 per la eligo de eraro, kiu blokas la lanĉon de la platformo kiam oni uzas la ŝlosilon specifitan. en la ekzemplo (nur la ŝlosilo specifita en la agorda ekzemplo de la nuna versio estas konsiderata, malnovaj tipŝlosiloj kaj ŝlosiloj de ŝablonoj kaj dokumentado ne estas blokitaj). Speciala skripto estis proponita por kontroli vundeblecon tra la reto.
fonto: opennet.ru