D'Fuerscher vun Horizon3 hunn op Sécherheetsproblemer an de meeschten Installatiounen vun der Apache Superset Datenanalyse a Visualiséierungsplattform opmierksam gemaach. Op 2124 vun 3176 ëffentleche Serveren, déi mam Apache Superset studéiert goufen, gouf d'Benotzung vum Standard Verschlësselungsschlëssel festgestallt, deen an der Beispill Konfiguratiounsdatei spezifizéiert ass. Dëse Schlëssel gëtt an der Flask Python-Bibliothéik benotzt fir Sessiouns-Cookien ze generéieren, wat en Ugräifer erlaabt, deen de Schlëssel kennt fir fiktiv Sessiounsparameter ze generéieren, mat der Apache Superset Webinterface ze verbannen an Daten aus verlinkte Datenbanken ze lueden, oder d'Code-Ausféierung mat Apache Superset Rechter ze organiséieren. .
Interessanterweis hunn d'Fuerscher am Ufank d'Entwéckler iwwer de Problem zréck am Joer 2021 informéiert, duerno an der Verëffentlechung vum Apache Superset 1.4.1, geformt am Januar 2022, de Wäert vum SECRET_KEY Parameter duerch d'Linn "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" ersat gouf, e Scheck war. un de Code bäigefüügt, wann dës Wäerter eng Warnung an de Log ausginn.
Am Februar vun dësem Joer hunn d'Fuerscher decidéiert de Scan vu vulnérabele Systemer ze widderhuelen a si konfrontéiert mat der Tatsaach, datt wéineg Leit op d'Warnung opmierksam gemaach hunn an 67% vun Apache Superset Serveren nach ëmmer weider Schlësselen aus Konfiguratiounsbeispiller, Deployment Templates oder Dokumentatioun benotzen. Zur selwechter Zäit waren e puer grouss Firmen, Universitéiten a Regierungsbehörden zu den Organisatiounen déi Standardschlësselen benotzen.
D'Spezifikatioun vun engem Aarbechtsschlëssel an enger Beispillkonfiguratioun gëtt elo als Schwachstelle ugesinn (CVE-2023-27524), déi an der Verëffentlechung vum Apache Superset 2.1 fixéiert gouf duerch den Ausgang vun engem Feeler, deen d'Plattform blockéiert fir unzefänken wann Dir de Schlëssel benotzt, deen an d'Beispill (nëmmen de Schlëssel, deen an der Beispillkonfiguratioun vun der aktueller Versioun spezifizéiert gëtt, gëtt berücksichtegt, al Standardschlësselen a Schlësselen aus Templates an Dokumentatioun sinn net blockéiert). E spezielle Skript gouf proposéiert fir Schwächen iwwer dem Netz ze kontrolléieren.
Source: opennet.ru