Horizon3 изилдөөчүлөрү Apache Superset маалыматтарды талдоо жана визуализация платформасынын көпчүлүк орнотууларындагы коопсуздук көйгөйлөрүнө көңүл бурушту. Apache Superset менен изилденген 2124 коомдук сервердин 3176үндө мисал конфигурация файлында демейки боюнча көрсөтүлгөн стандарттык шифрлөө ачкычын колдонуу аныкталган. Бул ачкыч Flask Python китепканасында сеанс кукилерин түзүү үчүн колдонулат, ал ачкычты билген чабуулчуга ойдон чыгарылган сеанс параметрлерин жаратууга, Apache Superset веб-интерфейсине туташууга жана байланышкан маалымат базаларынан маалыматтарды жүктөөгө же Apache Superset укуктары менен коддун аткарылышын уюштурууга мүмкүндүк берет. .
Кызыктуусу, изилдөөчүлөр алгач 2021-жылы көйгөй жөнүндө иштеп чыгуучуларга маалымат беришкен, андан кийин 1.4.1-жылдын январында түзүлгөн Apache Superset 2022 чыгарууда SECRET_KEY параметринин мааниси "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" сабына алмаштырылган, текшерүү болгон. кодго кошулган, эгерде бул маанилер журналга эскертүү берсе.
Үстүбүздөгү жылдын февраль айында изилдөөчүлөр аялуу системаларды скандоону кайталоону чечишти жана эскертүүгө бир нече адам көңүл буруп, Apache Superset серверлеринин 67% дагы эле конфигурация мисалдарынан, жайылтуу шаблондорунан же документациядан ачкычтарды колдонууну улантып жатканына туш болушту. Ошол эле учурда айрым ири компаниялар, университеттер жана мамлекеттик мекемелер демейки ачкычтарды колдонгон уюмдардын арасында болгон.
Мисал конфигурациясында жумушчу ачкычты көрсөтүү азыр аялуу (CVE-2023-27524) катары кабыл алынат, ал Apache Superset 2.1 релизинде аныкталган ачкычты колдонууда платформанын башталышына тоскоол болгон катанын чыгышы аркылуу аныкталган. мисал (учурдагы версиянын үлгү конфигурациясында көрсөтүлгөн ачкыч гана эске алынат, эски стандарттык ачкычтар жана шаблондордогу жана документтердеги ачкычтар бөгөттөлгөн эмес). Тармакта кемчиликтердин бар же жок экенин текшерүү үчүн атайын скрипт сунушталды.
Source: opennet.ru