Horizon3 ನಲ್ಲಿನ ಸಂಶೋಧಕರು Apache Superset ಡೇಟಾ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ದೃಶ್ಯೀಕರಣ ವೇದಿಕೆಯ ಹೆಚ್ಚಿನ ಸ್ಥಾಪನೆಗಳಲ್ಲಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಗಮನಿಸಿದ್ದಾರೆ. 2124 ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ ಪಬ್ಲಿಕ್ ಸರ್ವರ್ಗಳಲ್ಲಿ 3176 ರಲ್ಲಿ ಅಧ್ಯಯನ ಮಾಡಲಾಗಿದ್ದು, ಮಾದರಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಜೆನೆರಿಕ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀ ಬಳಕೆಯು ಪತ್ತೆಯಾಗಿದೆ. ಸೆಶನ್ ಕುಕೀಗಳನ್ನು ರಚಿಸಲು ಫ್ಲಾಸ್ಕ್ ಪೈಥಾನ್ ಲೈಬ್ರರಿಯಲ್ಲಿ ಈ ಕೀಲಿಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಕಾಲ್ಪನಿಕ ಸೆಶನ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ರಚಿಸಲು, ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಬೌಂಡ್ ಡೇಟಾಬೇಸ್ಗಳಿಂದ ಡೇಟಾವನ್ನು ಲೋಡ್ ಮಾಡಲು ಅಥವಾ ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಂಘಟಿಸಲು ಕೀಯನ್ನು ತಿಳಿದಿರುವ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ. .
ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಸಂಶೋಧಕರು ಆರಂಭದಲ್ಲಿ 2021 ರಲ್ಲಿ ಡೆವಲಪರ್ಗಳಿಗೆ ಸಮಸ್ಯೆಯನ್ನು ವರದಿ ಮಾಡಿದರು, ಅದರ ನಂತರ, ಜನವರಿ 1.4.1 ರಲ್ಲಿ ರೂಪುಗೊಂಡ ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ 2022 ಬಿಡುಗಡೆಯಲ್ಲಿ, SECRET_KEY ಪ್ಯಾರಾಮೀಟರ್ನ ಮೌಲ್ಯವನ್ನು "CHANGE_ME_TO_A_COMPLEX_RANDOM_SE ಎಂದು ಸ್ಟ್ರಿಂಗ್ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಯಿತು, a check ಕೋಡ್ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಲಾಗ್ಗೆ ಎಚ್ಚರಿಕೆಯನ್ನು ಔಟ್ಪುಟ್ ಮಾಡುವ ಮೌಲ್ಯವನ್ನು ಹೊಂದಿದ್ದರೆ.
ಈ ವರ್ಷದ ಫೆಬ್ರುವರಿಯಲ್ಲಿ, ಸಂಶೋಧಕರು ದುರ್ಬಲ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಮರುಪರಿಶೀಲಿಸಲು ನಿರ್ಧರಿಸಿದರು ಮತ್ತು ಕೆಲವು ಜನರು ಎಚ್ಚರಿಕೆಗೆ ಗಮನ ಕೊಡುತ್ತಾರೆ ಮತ್ತು 67% ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ ಸರ್ವರ್ಗಳು ಇನ್ನೂ ಕಾನ್ಫಿಗರೇಶನ್ ಉದಾಹರಣೆಗಳು, ನಿಯೋಜನೆ ಟೆಂಪ್ಲೇಟ್ಗಳು ಅಥವಾ ದಾಖಲಾತಿಗಳಿಂದ ಕೀಗಳನ್ನು ಬಳಸುವುದನ್ನು ಮುಂದುವರೆಸಿದ್ದಾರೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಕೆಲವು ದೊಡ್ಡ ಕಂಪನಿಗಳು, ವಿಶ್ವವಿದ್ಯಾಲಯಗಳು ಮತ್ತು ಸರ್ಕಾರಿ ಏಜೆನ್ಸಿಗಳು ಡೀಫಾಲ್ಟ್ ಕೀಗಳನ್ನು ಬಳಸುವ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಸೇರಿವೆ.
ಮಾದರಿ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಕೀಲಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದು ಈಗ ದುರ್ಬಲತೆ (CVE-2023-27524) ಎಂದು ಗ್ರಹಿಸಲಾಗಿದೆ, ಇದು ಅಪಾಚೆ ಸೂಪರ್ಸೆಟ್ 2.1 ಬಿಡುಗಡೆಯಲ್ಲಿ ದೋಷದ ಔಟ್ಪುಟ್ ಮೂಲಕ ನಿಗದಿತ ಕೀಲಿಯನ್ನು ಬಳಸುವಾಗ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನ ಉಡಾವಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ ಉದಾಹರಣೆಯಲ್ಲಿ (ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯ ಕಾನ್ಫಿಗರೇಶನ್ ಉದಾಹರಣೆಯಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಕೀಲಿಯನ್ನು ಮಾತ್ರ ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಲಾಗುತ್ತದೆ, ಹಳೆಯ ಪ್ರಕಾರದ ಕೀಗಳು ಮತ್ತು ಟೆಂಪ್ಲೇಟ್ಗಳು ಮತ್ತು ದಾಖಲಾತಿಗಳಿಂದ ಕೀಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿಲ್ಲ). ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ವಿಶೇಷ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru