퍼블릭 Apache Superset 서버의 67%가 구성 예제의 액세스 키를 사용합니다.

Horizon3의 연구원들은 대부분의 Apache Superset 데이터 분석 및 시각화 플랫폼 설치에서 보안 문제를 발견했습니다. 2124개 Apache Superset 공개 서버 중 3176개에서 샘플 구성 파일에 기본적으로 지정된 일반 암호화 키의 사용이 감지되었습니다. 이 키는 Flask Python 라이브러리에서 세션 쿠키를 생성하는 데 사용되며, 이를 통해 키를 알고 있는 공격자가 가상 ​​세션 매개 변수를 생성하고, Apache Superset 웹 인터페이스에 연결하고 바인딩된 데이터베이스에서 데이터를 로드하거나 Apache Superset 권한으로 코드 실행을 구성할 수 있습니다. .

흥미롭게도 연구원들은 처음에 2021년에 개발자들에게 이 문제에 대해 알렸고, 그 후 1.4.1년 2022월에 형성된 Apache Superset XNUMX 릴리스에서 SECRET_KEY 매개변수의 값이 "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" 문자열로 대체되었습니다. 이 값이 로그에 경고를 출력하는 경우 코드에 추가되었습니다.

올해 2월, 연구원들은 취약 시스템에 대한 검사를 반복하기로 결정했고, 그 결과 경고에 주의를 기울인 사람이 거의 없었으며 67%가 경고를 무시한 것으로 나타났습니다. 서버 Apache Superset은 구성 예제, 배포 템플릿 또는 문서의 키를 계속 사용합니다. 그러나 일부 대기업, 대학 및 정부 기관에서는 기본 키를 사용하고 있습니다.


퍼블릭 Apache Superset 서버의 67%가 구성 예제의 액세스 키를 사용합니다.

샘플 구성에서 작업 키를 지정하는 것은 이제 취약점(CVE-2023-27524)으로 인식되며 지정된 키를 사용할 때 플랫폼 실행을 차단하는 오류 출력을 통해 Apache Superset 2.1 릴리스에서 수정되었습니다. 예에서(현재 버전의 구성 예에 지정된 키만 고려되며 이전 유형 키와 템플릿 및 문서의 키는 차단되지 않음). 네트워크를 통해 취약점을 확인하기 위해 특수 스크립트가 제안되었습니다.


퍼블릭 Apache Superset 서버의 67%가 구성 예제의 액세스 키를 사용합니다.


출처 : opennet.ru
DDoS 보호, VPS VDS 서버가 있는 사이트를 위한 안정적인 호스팅 구입 🔥 DDoS 공격 방지 기능이 탑재된 안정적인 웹사이트 호스팅, VPS 및 VDS 서버를 구매하세요 | ProHoster