Vísindamenn frá Horizon3 vöktu athygli á öryggisvandamálum í flestum uppsetningum Apache Superset gagnagreiningar- og sjónkerfisvettvangsins. Á 2124 af 3176 opinberum netþjónum sem rannsakaðir voru með Apache Superset fannst notkun staðlaða dulkóðunarlykilsins sem tilgreindur er sjálfgefið í dæmið um stillingarskrá. Þessi lykill er notaður í Flask Python bókasafninu til að búa til setuvafrakökur, sem gerir árásarmanni sem þekkir lykilinn að búa til gervi setufæribreytur, tengjast Apache Superset vefviðmótinu og hlaða gögnum úr tengdum gagnagrunnum eða skipuleggja keyrslu kóða með Apache Superset réttindi. .
Athyglisvert er að rannsakendur upplýstu hönnuði upphaflega um vandamálið aftur árið 2021, eftir það í útgáfu Apache Superset 1.4.1, sem var stofnað í janúar 2022, var gildi SECRET_KEY færibreytunnar skipt út fyrir línuna „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET“, ávísun var bætt við kóðann, ef þetta gildi gefur frá sér viðvörun í annálinn.
Í febrúar á þessu ári ákváðu vísindamenn að endurtaka skönnun á viðkvæmum kerfum og stóðu frammi fyrir þeirri staðreynd að fáir veittu viðvöruninni gaum og 67% Apache Superset netþjóna héldu áfram að nota lykla úr stillingardæmum, dreifingarsniðmátum eða skjölum. Á sama tíma voru nokkur stór fyrirtæki, háskólar og ríkisstofnanir meðal þeirra stofnana sem notuðu sjálfgefna lykla.
Að tilgreina vinnulykil í dæmi um uppsetningu er nú litið á sem varnarleysi (CVE-2023-27524), sem var lagfært í útgáfu Apache Superset 2.1 í gegnum úttak á villu sem hindrar að vettvangurinn ræsist þegar lykillinn er notaður í dæmið (aðeins lykillinn sem tilgreindur er í dæmistillingu núverandi útgáfu er tekinn með í reikninginn, ekki er lokað fyrir gamla staðlaða lykla og lykla úr sniðmátum og skjölum). Sérstakt handrit hefur verið lagt til til að athuga með veikleika á netinu.
Heimild: opennet.ru