Horizon3-ko ikertzaileek segurtasun arazoak nabaritu dituzte Apache Superset datuen analisi eta bistaratzeko plataformaren instalazio gehienetan. Aztertutako 2124 Apache Superset zerbitzari publikoetatik 3176tan, laginaren konfigurazio fitxategian lehenespenez zehaztutako enkriptazio-gako generikoaren erabilera detektatu zen. Gako hau Flask Python liburutegian erabiltzen da saio-cookieak sortzeko, eta horri esker, gakoa ezagutzen duen erasotzaile bati saio-parametroak fikziozko parametroak sortzeko, Apache Superset web-interfazera konektatzeko eta datu-baseen datuak kargatzeko, edo kodearen exekuzioa antolatzeko Apache Superset eskubideekin. .
Interesgarria da ikertzaileek hasiera batean 2021ean arazoaren berri eman zieten garatzaileei, eta ondoren, 1.4.1ko urtarrilean sortu zen Apache Superset 2022 bertsioan, SECRET_KEY parametroaren balioa "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" katearekin ordezkatu zen, egiaztapen bat. kodeari gehitu zaio, honek erregistroari abisua ematea balio badu.
Aurtengo otsailean, ikertzaileek sistema ahulak berriro eskaneatzea erabaki zuten eta ikusi zuten jende gutxik erreparatzen diola abisuari eta Apache Superset zerbitzarien % 67k oraindik konfigurazio adibideetako, inplementazio-txantiloietako edo dokumentazioko gakoak erabiltzen jarraitzen dute. Aldi berean, enpresa handi batzuk, unibertsitateak eta gobernu-agentziak gako lehenetsiak erabiltzen zituzten erakundeen artean zeuden.
Lagin-konfigurazioan lan-gako bat zehaztea ahultasun gisa hautematen da orain (CVE-2023-27524), eta hori Apache Superset 2.1 bertsioan konpontzen dena, zehaztutako gakoa erabiltzean plataforma abiaraztea blokeatzen duen errore baten irteeraren bidez. adibidean (uneko bertsioaren konfigurazio adibidean zehaztutako gakoa soilik hartzen da kontuan, mota zaharreko gakoak eta txantiloietako eta dokumentazioko gakoak ez dira blokeatzen). Script berezi bat proposatu da sarean ahultasunik dagoen egiaztatzeko.
Iturria: opennet.ru