Horizon3 جي محققن Apache Superset ڊيٽا جي تجزيي ۽ بصري پليٽ فارم جي اڪثر تنصيب ۾ سيڪيورٽي مسئلن ڏانهن ڌيان ڏنو. 2124 مان 3176 پبلڪ سرورز جو Apache Superset سان اڀياس ڪيو ويو، مثال جي ترتيب واري فائل ۾ ڊفالٽ طور بيان ڪيل معياري انڪرپشن ڪي جو استعمال معلوم ڪيو ويو. هي چيڪ فلاسڪ پٿون لائبريري ۾ استعمال ڪيو ويندو آهي سيشن ڪوڪيز ٺاهڻ لاءِ، جيڪو هڪ حملي آور کي اجازت ڏئي ٿو جيڪو ڪنجي کي ڄاڻي ٿو جعلي سيشن پيراميٽر ٺاهي، Apache Superset ويب انٽرفيس سان ڳنڍڻ ۽ ڳنڍيل ڊيٽابيس مان ڊيٽا لوڊ ڪرڻ، يا Apache Superset جي حقن سان ڪوڊ جي عمل کي منظم ڪرڻ. .
دلچسپ ڳالهه اها آهي ته محققن شروعاتي طور تي ڊولپرز کي 2021 ۾ ان مسئلي بابت آگاهي ڏني، جنهن کانپوءِ جنوري 1.4.1 ۾ ٺاهيل Apache Superset 2022 جي رليز ۾، SECRET_KEY پيٽرول جي قيمت کي "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" واري لائن سان تبديل ڪيو ويو، هڪ چيڪ ڪيو ويو. ڪوڊ ۾ شامل ڪيو ويو، جيڪڏھن ھي قدر ٻاھر ڪڍندو آھي لاگ کي ڊيڄاريندڙ.
هن سال جي فيبروري ۾، محققن ڪمزور سسٽم جي اسڪين کي ورجائڻ جو فيصلو ڪيو ۽ ان حقيقت کي منهن ڏيڻو پيو ته ٿورن ماڻهن خبرداريءَ تي ڌيان ڏنو ۽ Apache Superset سرورز جو 67 سيڪڙو اڃا تائين ڪنفيگريشن مثالن، ڊيپلائيمينٽ ٽيمپليٽس يا دستاويزن مان ڪي استعمال ڪرڻ جاري رکيا. ساڳي ئي وقت، ڪجهه وڏيون ڪمپنيون، يونيورسٽيون ۽ سرڪاري ادارا انهن تنظيمن مان هئا جيڪي ڊفالٽ چابيون استعمال ڪنديون هيون.
مثال جي ترتيب ۾ ڪم ڪندڙ چاٻي جي وضاحت ڪرڻ هاڻي هڪ خطري جي طور تي سمجهيو ويندو آهي (CVE-2023-27524)، جيڪو Apache Superset 2.1 جي رليز ۾ هڪ غلطي جي پيداوار ذريعي مقرر ڪيو ويو آهي جيڪو پليٽ فارم کي شروع ڪرڻ کان روڪي ٿو جڏهن بيان ڪيل ڪي کي استعمال ڪندي. مثال (صرف موجوده ورزن جي مثال جي تشڪيل ۾ بيان ڪيل ڪنجي کي حساب ۾ ورتو وڃي ٿو، پراڻي معياري ڪنجيون ۽ ٽيمپليٽس ۽ دستاويزن مان ڪيز کي بلاڪ نه ڪيو ويو آهي). نيٽ ورڪ تي خطرن جي موجودگي جي جانچ ڪرڻ لاءِ هڪ خاص اسڪرپٽ تجويز ڪيو ويو آهي.
جو ذريعو: opennet.ru