67% ya seva za Apache Superset za umma hutumia ufunguo wa ufikiaji kutoka kwa mfano wa usanidi

Watafiti katika Horizon3 wamegundua masuala ya usalama katika usakinishaji mwingi wa uchambuzi wa data wa Apache Superset na jukwaa la taswira. Mnamo 2124 kati ya seva 3176 za Apache Superset zilizosomwa, matumizi ya ufunguo wa usimbaji wa jumla uliobainishwa kwa chaguomsingi katika sampuli ya faili ya usanidi iligunduliwa. Ufunguo huu unatumika katika maktaba ya Flask Python kutengeneza vidakuzi vya kikao, ambayo huruhusu mshambuliaji anayejua ufunguo wa kuunda vigezo vya kipindi cha uwongo, kuunganisha kwenye kiolesura cha wavuti cha Apache Superset na kupakia data kutoka kwa hifadhidata zilizofungwa, au kupanga utekelezaji wa nambari kwa haki za Apache Superset. .

Jambo la kufurahisha ni kwamba watafiti waliripoti tatizo hilo kwa watengenezaji hapo awali mnamo 2021, baada ya hapo, katika toleo la Apache Superset 1.4.1, lililoundwa Januari 2022, thamani ya parameta ya SECRET_KEY ilibadilishwa na mfuatano wa "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", hundi ilibadilishwa. imeongezwa kwa nambari, ikiwa hii itathamini kutoa onyo kwa logi.

Mnamo Februari mwaka huu, watafiti waliamua kurudia uchunguzi wa mifumo dhaifu na kugundua kuwa watu wachache walitilia maanani onyo hilo na 67% seva Apache Superset inaendelea kutumia funguo kutoka kwa mifano ya usanidi, violezo vya usanidi, au nyaraka. Hata hivyo, baadhi ya makampuni makubwa, vyuo vikuu, na mashirika ya serikali ni miongoni mwa mashirika yanayotumia funguo chaguomsingi.


67% ya seva za Apache Superset za umma hutumia ufunguo wa ufikiaji kutoka kwa mfano wa usanidi

Kubainisha ufunguo wa kufanya kazi katika usanidi wa sampuli sasa kunachukuliwa kuwa hatari (CVE-2023-27524), ambayo imerekebishwa katika toleo la Apache Superset 2.1 kupitia matokeo ya hitilafu inayozuia uzinduzi wa jukwaa unapotumia ufunguo uliobainishwa. kwa mfano (ufunguo tu uliotajwa katika mfano wa usanidi wa toleo la sasa unazingatiwa, funguo za aina ya zamani na funguo kutoka kwa templates na nyaraka hazizuiwi). Hati maalum imependekezwa ili kuangalia uwezekano wa kuathiriwa kwenye mtandao.


67% ya seva za Apache Superset za umma hutumia ufunguo wa ufikiaji kutoka kwa mfano wa usanidi


Chanzo: opennet.ru
Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS πŸ”₯ Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster