Horizon3 зерттеушілері Apache Superset деректерді талдау және визуализация платформасының көптеген қондырғыларында қауіпсіздік мәселелерін байқады. Зерттелген 2124 Apache Superset жалпы серверлерінің 3176-інде үлгі конфигурация файлында әдепкі бойынша көрсетілген жалпы шифрлау кілтін пайдалану анықталды. Бұл кілт Flask Python кітапханасында сеанс cookie файлдарын жасау үшін пайдаланылады, ол кілтті білетін шабуылдаушыға жалған сеанс параметрлерін жасауға, Apache Superset веб-интерфейсіне қосылуға және байланыстырылған дерекқорлардан деректерді жүктеуге немесе Apache Superset құқықтарымен кодтың орындалуын ұйымдастыруға мүмкіндік береді. .
Бір қызығы, зерттеушілер бастапқыда әзірлеушілерді проблема туралы 2021 жылы хабардар етті, содан кейін 1.4.1 жылдың қаңтарында қалыптасқан Apache Superset 2022 шығарылымында SECRET_KEY параметрінің мәні "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" жолымен ауыстырылды, кодқа қосылды, егер бұл мән журналға ескерту шығаратын болса.
Осы жылдың ақпан айында зерттеушілер осал жүйелерді қайта қарап шығуды шешті және ескертуге аз адамдар назар аударатынын және Apache Superset серверлерінің 67% әлі де конфигурация мысалдарынан, орналастыру үлгілерінен немесе құжаттамадан кілттерді пайдалануды жалғастыратынын анықтады. Бұл ретте кейбір ірі компаниялар, университеттер мен мемлекеттік мекемелер әдепкі кілттерді пайдаланатын ұйымдардың қатарында болды.
Үлгі конфигурациясында жұмыс кілтін көрсету енді осалдық ретінде қабылданады (CVE-2023-27524), ол Apache Superset 2.1 шығарылымында көрсетілген кілтті пайдалану кезінде платформаны іске қосуды блоктайтын қатенің шығуы арқылы түзетіледі. мысалда (ағымдағы нұсқаның конфигурация мысалында көрсетілген кілт ғана ескеріледі, ескі типтегі кілттер мен үлгілер мен құжаттамадағы кілттер блокталмайды). Желідегі осалдықты тексеру үшін арнайы сценарий ұсынылды.
Ақпарат көзі: opennet.ru