Horizon3 မှသုတေသီများသည် Apache Superset ဒေတာခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် အမြင်ပုံဖော်ခြင်းပလပ်ဖောင်း၏ ထည့်သွင်းမှုအများစုတွင် လုံခြုံရေးပြဿနာများကို သတိပြုမိကြသည်။ Apache Superset အများသူငှာ ဆာဗာ 2124 ခုမှ 3176 ခုကို လေ့လာခဲ့ရာတွင်၊ နမူနာပုံစံဖွဲ့စည်းမှုဖိုင်တွင် ပုံသေသတ်မှတ်ထားသော ယေဘူယျကုဒ်ဝှက်ခြင်းကီးကို အသုံးပြုမှုကို တွေ့ရှိခဲ့သည်။ ဤသော့ကို Flask Python ဒစ်ဂျစ်တိုက်တွင် အသုံးပြုထားပြီး၊ သော့ကိုသိသော တိုက်ခိုက်သူသည် စိတ်ကူးယဉ်သော session ကန့်သတ်ဘောင်များကို ထုတ်ပေးရန်၊ Apache Superset ဝဘ်အင်တာဖေ့စ်သို့ ချိတ်ဆက်ကာ ဒေတာဘေ့စ်များမှ ဒေတာများတင်ရန်၊ သို့မဟုတ် Apache Superset လုပ်ပိုင်ခွင့်များဖြင့် ကုဒ်လုပ်ဆောင်မှုကို စုစည်းခွင့်ပြုသည်။ .
စိတ်ဝင်စားစရာမှာ၊ သုတေသီများသည် ပြဿနာကို 2021 ခုနှစ်တွင် developer များထံ ကနဦးတင်ပြခဲ့ပြီး၊ ထို့နောက် 1.4.1 ခုနှစ် ဇန်နဝါရီလတွင် ဖွဲ့စည်းခဲ့သည့် Apache Superset 2022 ထုတ်ဝေမှုတွင်၊ SECRET_KEY ပါရာမီတာ၏တန်ဖိုးကို "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" ဟူသောစာတန်းဖြင့် အစားထိုးခဲ့သည် ကုဒ်ကို ပေါင်းထည့်လိုက်လျှင် ဤတန်ဖိုးများကို မှတ်တမ်းသို့ သတိပေးချက်ထုတ်သည်။
ယခုနှစ် ဖေဖော်ဝါရီလတွင်၊ သုတေသီများသည် အားနည်းချက်ရှိသော စနစ်များကို ပြန်လည်စကင်န်ဖတ်ရန် ဆုံးဖြတ်ခဲ့ကြပြီး လူအနည်းငယ်က သတိပေးချက်ကို အာရုံစိုက်ကြပြီး Apache Superset ဆာဗာများ၏ 67% သည် configuration example၊ deployment templates သို့မဟုတ် documentation များမှ သော့များကို ဆက်လက်အသုံးပြုနေကြဆဲဖြစ်ကြောင်း တွေ့ရှိခဲ့သည်။ တစ်ချိန်တည်းမှာပင် အချို့သော ကုမ္ပဏီကြီးများ၊ တက္ကသိုလ်များနှင့် အစိုးရအေဂျင်စီများသည် ပုံသေသော့များကို အသုံးပြုသည့် အဖွဲ့အစည်းများတွင် ပါဝင်ခဲ့သည်။
နမူနာပုံစံဖွဲ့စည်းမှုတွင် အလုပ်လုပ်သောကီးကို သတ်မှတ်ခြင်းအား Apache Superset 2023 ၏ထွက်ရှိမှုတွင် သတ်မှတ်ထားသည့်သော့ကိုအသုံးပြုသည့်အခါ ပလပ်ဖောင်းစတင်ခြင်းအား ပိတ်ဆို့သည့်အမှားတစ်ခုမှတစ်ဆင့် ပြင်ဆင်ထားသည့် (CVE-27524-2.1) အားနည်းချက်တစ်ခုအဖြစ် ယခုမြင်လာရသည်။ ဥပမာတွင် (လက်ရှိဗားရှင်း၏ဖွဲ့စည်းပုံနမူနာတွင်ဖော်ပြထားသည့်သော့ကိုသာထည့်သွင်းစဉ်းစားသည်၊ နမူနာပုံစံများနှင့်စာရွက်စာတမ်းများမှသော့အဟောင်းများနှင့်အမျိုးအစားသော့များကိုပိတ်ထားမည်မဟုတ်ပါ)။ ကွန်ရက်ပေါ်တွင် အားနည်းချက်ရှိမရှိ စစ်ဆေးရန် အထူး script ကို အဆိုပြုထားသည်။
source: opennet.ru