Horizon3 இன் ஆராய்ச்சியாளர்கள் அப்பாச்சி சூப்பர்செட் தரவு பகுப்பாய்வு மற்றும் காட்சிப்படுத்தல் தளத்தின் பெரும்பாலான நிறுவல்களில் பாதுகாப்புச் சிக்கல்களைக் கண்டறிந்துள்ளனர். ஆய்வு செய்யப்பட்ட 2124 அப்பாச்சி சூப்பர்செட் பொதுச் சேவையகங்களில் 3176 இல், மாதிரி உள்ளமைவு கோப்பில் இயல்பாகக் குறிப்பிடப்பட்ட பொதுவான குறியாக்க விசையின் பயன்பாடு கண்டறியப்பட்டது. அமர்வு குக்கீகளை உருவாக்க இந்த விசை Flask Python லைப்ரரியில் பயன்படுத்தப்படுகிறது, இது விசையை அறிந்த தாக்குபவரை கற்பனையான அமர்வு அளவுருக்களை உருவாக்கவும், Apache Superset இணைய இடைமுகத்துடன் இணைக்கவும் மற்றும் பிணைக்கப்பட்ட தரவுத்தளங்களிலிருந்து தரவை ஏற்றவும் அல்லது Apache Superset உரிமைகளுடன் குறியீடு செயல்படுத்தலை ஒழுங்கமைக்கவும் அனுமதிக்கிறது. .
சுவாரஸ்யமாக, ஆராய்ச்சியாளர்கள் 2021 இல் சிக்கலைப் பற்றி டெவலப்பர்களுக்குத் தெரிவித்தனர், அதன் பிறகு, ஜனவரி 1.4.1 இல் உருவாக்கப்பட்ட Apache Superset 2022 வெளியீட்டில், SECRET_KEY அளவுருவின் மதிப்பு "CHANGE_ME_TO_A_COMPLEX_RANDOM_ சரிபார்ப்பு சரத்துடன் மாற்றப்பட்டது. குறியீடுடன் சேர்க்கப்பட்டது, இது பதிவிற்கு ஒரு எச்சரிக்கையை வெளியிட்டால்.
இந்த ஆண்டு பிப்ரவரியில், பாதிக்கப்படக்கூடிய அமைப்புகளை மறுபரிசீலனை செய்ய ஆராய்ச்சியாளர்கள் முடிவு செய்தனர், மேலும் சிலர் எச்சரிக்கைக்கு கவனம் செலுத்துகிறார்கள் மற்றும் 67% அப்பாச்சி சூப்பர்செட் சேவையகங்கள் உள்ளமைவு எடுத்துக்காட்டுகள், வரிசைப்படுத்தல் வார்ப்புருக்கள் அல்லது ஆவணங்கள் ஆகியவற்றின் விசைகளைத் தொடர்ந்து பயன்படுத்துகின்றன. அதே நேரத்தில், சில பெரிய நிறுவனங்கள், பல்கலைக்கழகங்கள் மற்றும் அரசு நிறுவனங்கள் இயல்புநிலை விசைகளைப் பயன்படுத்தும் நிறுவனங்களில் இருந்தன.
மாதிரி உள்ளமைவில் வேலை செய்யும் விசையைக் குறிப்பிடுவது இப்போது பாதிப்பாகக் கருதப்படுகிறது (CVE-2023-27524), இது Apache Superset 2.1 வெளியீட்டில் சரி செய்யப்பட்டது, இது ஒரு பிழையின் வெளியீடு மூலம் குறிப்பிட்ட விசையைப் பயன்படுத்தும் போது இயங்குதளத்தின் துவக்கத்தைத் தடுக்கிறது. எடுத்துக்காட்டில் (தற்போதைய பதிப்பின் உள்ளமைவு எடுத்துக்காட்டில் குறிப்பிடப்பட்ட விசை மட்டுமே கணக்கில் எடுத்துக்கொள்ளப்படுகிறது, பழைய வகை விசைகள் மற்றும் வார்ப்புருக்கள் மற்றும் ஆவணங்களிலிருந்து விசைகள் தடுக்கப்படவில்லை). நெட்வொர்க்கில் உள்ள பாதிப்பை சரிபார்க்க ஒரு சிறப்பு ஸ்கிரிப்ட் முன்மொழியப்பட்டது.
ஆதாரம்: opennet.ru