ProHoster > blog > aħbarijiet fuq l-internet > 67% tas-servers pubbliċi Apache Superset jużaw iċ-ċavetta ta 'aċċess mill-eżempju ta' konfigurazzjoni

67% tas-servers pubbliċi Apache Superset jużaw iċ-ċavetta ta 'aċċess mill-eżempju ta' konfigurazzjoni

Riċerkaturi minn Horizon3 ġibdu l-attenzjoni għall-problemi tas-sigurtà fil-biċċa l-kbira tal-installazzjonijiet tal-pjattaforma tal-analiżi u l-viżwalizzazzjoni tad-dejta Apache Superset. Fuq 2124 minn 3176 servers pubbliċi studjati b'Apache Superset, ġie skopert l-użu taċ-ċavetta ta' encryption standard speċifikata b'mod awtomatiku fil-fajl tal-konfigurazzjoni eżempju. Din iċ-ċavetta tintuża fil-librerija Flask Python biex tiġġenera Cookies tas-sessjoni, li tippermetti lil attakkant li jaf iċ-ċavetta jiġġenera parametri fittizji tas-sessjoni, jikkonnettja mal-interface tal-web Apache Superset u jgħabbi dejta minn databases konnessi, jew jorganizza l-eżekuzzjoni tal-kodiċi bid-drittijiet tal-Apache Superset .

Interessanti, ir-riċerkaturi inizjalment infurmaw lill-iżviluppaturi dwar il-problema lura fl-2021, u wara fir-rilaxx ta 'Apache Superset 1.4.1, iffurmat f'Jannar 2022, il-valur tal-parametru SECRET_KEY ġie sostitwit bil-linja "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", ġie verifikat. miżjud mal-kodiċi, jekk dan il-valuri joħroġ twissija lir-reġistru.

Fi Frar ta 'din is-sena, ir-riċerkaturi ddeċidew li jirrepetu l-iskannjar ta' sistemi vulnerabbli u kienu ffaċċjati bil-fatt li ftit nies taw attenzjoni għat-twissija u 67% tas-servers Apache Superset xorta komplew jużaw ċwievet minn eżempji ta 'konfigurazzjoni, mudelli ta' skjerament jew dokumentazzjoni. Fl-istess ħin, xi kumpaniji kbar, universitajiet u aġenziji tal-gvern kienu fost l-organizzazzjonijiet li jużaw ċwievet default.

67% tas-servers pubbliċi Apache Superset jużaw iċ-ċavetta ta 'aċċess mill-eżempju ta' konfigurazzjoni

L-ispeċifikazzjoni ta’ ċavetta ta’ ħidma f’konfigurazzjoni ta’ eżempju issa hija pperċepita bħala vulnerabbiltà (CVE-2023-27524), li ġiet iffissata fir-rilaxx ta’ Apache Superset 2.1 permezz tal-output ta’ żball li jimblokka l-pjattaforma milli tibda meta tuża ċ-ċavetta speċifikata f’ l-eżempju (titqies biss iċ-ċavetta speċifikata fil-konfigurazzjoni eżempju tal-verżjoni kurrenti, ċwievet standard qodma u ċwievet minn mudelli u dokumentazzjoni mhumiex imblukkati). Ġie propost skript speċjali biex jiċċekkja l-vulnerabbiltajiet fuq in-netwerk.

67% tas-servers pubbliċi Apache Superset jużaw iċ-ċavetta ta 'aċċess mill-eżempju ta' konfigurazzjoni


Sors: opennet.ru

Żid kumment