Horizon3 зерттеушілері Apache Superset деректерді талдау және визуализация платформасының көптеген қондырғыларында қауіпсіздік мәселелерін байқады. Зерттелген 2124 Apache Superset жалпы серверлерінің 3176-інде үлгі конфигурация файлында әдепкі бойынша көрсетілген жалпы шифрлау кілтін пайдалану анықталды. Бұл кілт Flask Python кітапханасында сеанс cookie файлдарын жасау үшін пайдаланылады, ол кілтті білетін шабуылдаушыға жалған сеанс параметрлерін жасауға, Apache Superset веб-интерфейсіне қосылуға және байланыстырылған дерекқорлардан деректерді жүктеуге немесе Apache Superset құқықтарымен кодтың орындалуын ұйымдастыруға мүмкіндік береді. .
Бір қызығы, зерттеушілер бастапқыда әзірлеушілерді проблема туралы 2021 жылы хабардар етті, содан кейін 1.4.1 жылдың қаңтарында қалыптасқан Apache Superset 2022 шығарылымында SECRET_KEY параметрінің мәні "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" жолымен ауыстырылды, кодқа қосылды, егер бұл мән журналға ескерту шығаратын болса.
Осы жылдың ақпан айында зерттеушілер осал жүйелерді сканерлеуді қайталау туралы шешім қабылдады және ескертуге аз адам назар аударғанын және 67% назар аударғанын анықтады. серверлер Apache Superset конфигурация мысалдарынан, орналастыру үлгілерінен немесе құжаттамадан алынған кілттерді пайдалануды жалғастыруда. Дегенмен, кейбір ірі компаниялар, университеттер және мемлекеттік мекемелер әдепкі кілттерді пайдаланатын ұйымдардың қатарында.
Үлгі конфигурациясында жұмыс кілтін көрсету енді осалдық ретінде қабылданады (CVE-2023-27524), ол Apache Superset 2.1 шығарылымында көрсетілген кілтті пайдалану кезінде платформаны іске қосуды блоктайтын қатенің шығуы арқылы түзетіледі. мысалда (ағымдағы нұсқаның конфигурация мысалында көрсетілген кілт ғана ескеріледі, ескі типтегі кілттер мен үлгілер мен құжаттамадағы кілттер блокталмайды). Желідегі осалдықты тексеру үшін арнайы сценарий ұсынылды.
Ақпарат көзі: opennet.ru
