Forskere ved Horizon3 har lagt merke til sikkerhetsproblemer i de fleste installasjonene av Apache Superset-dataanalyse- og visualiseringsplattformen. På 2124 av 3176 offentlige Apache Superset-servere som ble studert, ble bruken av den generiske krypteringsnøkkelen spesifisert som standard i eksempelkonfigurasjonsfilen oppdaget. Denne nøkkelen brukes i Flask Python-biblioteket for å generere sesjonskapsler, som lar en angriper som kjenner nøkkelen generere fiktive sesjonsparametere, koble til Apache Superset-nettgrensesnittet og laste inn data fra bundne databaser, eller organisere kodekjøring med Apache Superset-rettigheter .
Interessant nok informerte forskerne først utviklerne om problemet tilbake i 2021, hvoretter, i utgivelsen av Apache Superset 1.4.1, dannet i januar 2022, ble verdien av SECRET_KEY-parameteren erstattet med strengen "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", en sjekk. ble lagt til koden, hvis denne verdier å gi en advarsel til loggen.
I februar i år bestemte forskere seg for å skanne sårbare systemer på nytt og fant ut at få mennesker tar hensyn til advarselen, og 67 % av Apache Superset-servere fortsetter fortsatt å bruke nøkler fra konfigurasjonseksempler, distribusjonsmaler eller dokumentasjon. Samtidig var noen store selskaper, universiteter og offentlige etater blant organisasjonene som brukte standardnøkler.
Å spesifisere en arbeidsnøkkel i eksempelkonfigurasjonen oppfattes nå som en sårbarhet (CVE-2023-27524), som er fikset i utgivelsen av Apache Superset 2.1 gjennom utdata av en feil som blokkerer lanseringen av plattformen ved bruk av den spesifiserte nøkkelen i eksemplet (bare nøkkelen som er spesifisert i konfigurasjonseksemplet for gjeldende versjon er tatt i betraktning, gamle typenøkler og nøkler fra maler og dokumentasjon er ikke blokkert). Et spesielt skript er foreslått for å se etter en sårbarhet over nettverket.
Kilde: opennet.ru