Panaliti di Horizon3 parantos ningali masalah kaamanan dina kalolobaan pamasangan platform analisis data sareng visualisasi Apache Superset. Dina 2124 ti 3176 server publik Apache Superset ditalungtik, pamakean konci enkripsi generik anu ditetepkeun sacara standar dina file konfigurasi sampel dideteksi. Konci ieu dianggo dina perpustakaan Flask Python pikeun ngahasilkeun cookies sési, anu ngamungkinkeun panyerang anu terang konci pikeun ngahasilkeun parameter sési fiktif, nyambung ka antarmuka wéb Apache Superset sareng ngamuat data tina pangkalan data anu terikat, atanapi ngatur palaksanaan kode kalayan hak Apache Superset. .
Narikna, para panalungtik mimitina ngalaporkeun masalah ka pangembang deui dina taun 2021, saatos éta, dina sékrési Apache Superset 1.4.1, kabentuk dina Januari 2022, nilai parameter SECRET_KEY diganti ku string "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", cek éta. ditambahkeun kana kode, lamun ieu nilai outputting peringatan ka log.
Dina bulan Pebruari taun ieu, panalungtik mutuskeun pikeun rescan sistem rentan jeung kapanggih yén sababaraha urang nengetan peringatan sarta 67% tina server Apache Superset masih neruskeun migunakeun konci tina conto konfigurasi, deployment template atawa dokuméntasi. Dina waktos anu sami, sababaraha perusahaan ageung, paguron luhur sareng lembaga pamaréntah mangrupikeun organisasi anu nganggo konci standar.
Nangtukeun konci anu tiasa dianggo dina konfigurasi sampel ayeuna dianggap kerentanan (CVE-2023-27524), anu dibenerkeun dina sékrési Apache Superset 2.1 ngalangkungan kaluaran kasalahan anu ngahalangan peluncuran platform nalika nganggo konci anu ditangtukeun. dina conto (ngan konci anu ditetepkeun dina conto konfigurasi tina versi ayeuna anu dipertimbangkeun, konci jinis lami sareng konci tina témplat sareng dokuméntasi henteu diblokir). Skrip khusus parantos diajukeun pikeun mariksa kerentanan dina jaringan.
sumber: opennet.ru