Horizon3 の研究者は、Apache Superset データ分析および視覚化プラットフォームのほとんどのインストールにセキュリティの問題があることに気付きました。 調査した 2124 台の Apache Superset パブリック サーバーのうち 3176 台で、サンプル構成ファイルでデフォルトで指定されている汎用暗号化キーの使用が検出されました。 このキーは、Flask Python ライブラリでセッション Cookie を生成するために使用されます。これにより、キーを知っている攻撃者は、架空のセッション パラメーターを生成したり、Apache Superset Web インターフェイスに接続して、バインドされたデータベースからデータをロードしたり、Apache Superset 権限でコードの実行を組織したりすることができます。 。
興味深いことに、研究者らは最初にこの問題を 2021 年に開発者に報告し、その後、1.4.1 年 2022 月に形成された Apache Superset XNUMX のリリースで、SECRET_KEY パラメータの値が文字列「CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET」に置き換えられ、チェックが行われました。これが値の場合、ログに警告を出力するようにコードに追加します。
今年 67 月、研究者らは脆弱なシステムを再スキャンすることを決定し、この警告に注意を払う人はほとんどおらず、Apache Superset サーバーの XNUMX% が依然として構成例、展開テンプレート、またはドキュメントのキーを使用し続けていることが判明しました。 同時に、一部の大企業、大学、政府機関がデフォルトのキーを使用している組織もありました。
サンプル構成で作業キーを指定すると、脆弱性 (CVE-2023-27524) として認識されるようになりました。この脆弱性は、Apache Superset 2.1 のリリースで、指定されたキーを使用するとプラットフォームの起動をブロックするエラーが出力されることで修正されました。この例では (現在のバージョンの設定例で指定されたキーのみが考慮され、古いタイプのキーとテンプレートやドキュメントのキーはブロックされません)。 ネットワーク上の脆弱性をチェックするための特別なスクリプトが提案されています。
出所: オープンネット.ru