Watafiti katika Horizon3 wamegundua masuala ya usalama katika usakinishaji mwingi wa uchambuzi wa data wa Apache Superset na jukwaa la taswira. Mnamo 2124 kati ya seva 3176 za Apache Superset zilizosomwa, matumizi ya ufunguo wa usimbaji wa jumla uliobainishwa kwa chaguomsingi katika sampuli ya faili ya usanidi iligunduliwa. Ufunguo huu unatumika katika maktaba ya Flask Python kutengeneza vidakuzi vya kikao, ambayo huruhusu mshambuliaji anayejua ufunguo wa kuunda vigezo vya kipindi cha uwongo, kuunganisha kwenye kiolesura cha wavuti cha Apache Superset na kupakia data kutoka kwa hifadhidata zilizofungwa, au kupanga utekelezaji wa nambari kwa haki za Apache Superset. .
Jambo la kufurahisha ni kwamba watafiti waliripoti tatizo hilo kwa watengenezaji hapo awali mnamo 2021, baada ya hapo, katika toleo la Apache Superset 1.4.1, lililoundwa Januari 2022, thamani ya parameta ya SECRET_KEY ilibadilishwa na mfuatano wa "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", hundi ilibadilishwa. imeongezwa kwa nambari, ikiwa hii itathamini kutoa onyo kwa logi.
Mnamo Februari mwaka huu, watafiti waliamua kuchambua tena mifumo iliyo hatarini na kugundua kuwa watu wachache wanazingatia onyo na 67% ya seva za Apache Superset bado zinaendelea kutumia funguo kutoka kwa mifano ya usanidi, violezo vya kupeleka au hati. Wakati huo huo, baadhi ya makampuni makubwa, vyuo vikuu na mashirika ya serikali yalikuwa miongoni mwa mashirika yanayotumia funguo za chaguo-msingi.
Kubainisha ufunguo wa kufanya kazi katika usanidi wa sampuli sasa kunachukuliwa kuwa hatari (CVE-2023-27524), ambayo imerekebishwa katika toleo la Apache Superset 2.1 kupitia matokeo ya hitilafu inayozuia uzinduzi wa jukwaa unapotumia ufunguo uliobainishwa. kwa mfano (ufunguo tu uliotajwa katika mfano wa usanidi wa toleo la sasa unazingatiwa, funguo za aina ya zamani na funguo kutoka kwa templates na nyaraka hazizuiwi). Hati maalum imependekezwa ili kuangalia uwezekano wa kuathiriwa kwenye mtandao.
Chanzo: opennet.ru