హారిజోన్3లోని పరిశోధకులు అపాచీ సూపర్సెట్ డేటా విశ్లేషణ మరియు విజువలైజేషన్ ప్లాట్ఫారమ్ యొక్క చాలా ఇన్స్టాలేషన్లలో భద్రతా సమస్యలను గమనించారు. అధ్యయనం చేసిన 2124 Apache Superset పబ్లిక్ సర్వర్లలో 3176లో, నమూనా కాన్ఫిగరేషన్ ఫైల్లో డిఫాల్ట్గా పేర్కొన్న జెనరిక్ ఎన్క్రిప్షన్ కీని ఉపయోగించడం కనుగొనబడింది. సెషన్ కుక్కీలను రూపొందించడానికి ఫ్లాస్క్ పైథాన్ లైబ్రరీలో ఈ కీ ఉపయోగించబడుతుంది, ఇది కల్పిత సెషన్ పారామితులను రూపొందించడానికి, అపాచీ సూపర్సెట్ వెబ్ ఇంటర్ఫేస్కు కనెక్ట్ చేయడానికి మరియు బౌండ్ డేటాబేస్ల నుండి డేటాను లోడ్ చేయడానికి లేదా అపాచీ సూపర్సెట్ హక్కులతో కోడ్ అమలును నిర్వహించడానికి కీ తెలిసిన దాడి చేసేవారిని అనుమతిస్తుంది. .
ఆసక్తికరంగా, పరిశోధకులు మొదట 2021లో సమస్య గురించి డెవలపర్లకు తెలియజేసారు, ఆ తర్వాత, జనవరి 1.4.1లో రూపొందించబడిన Apache Superset 2022 విడుదలలో, SECRET_KEY పరామితి యొక్క విలువ "CHANGE_ME_TO_A_COMPLEX_RANDOM_ చెక్తో స్ట్రింగ్తో భర్తీ చేయబడింది. ఇది లాగ్కు హెచ్చరికను అవుట్పుట్ చేస్తే, కోడ్కి జోడించబడింది.
ఈ సంవత్సరం ఫిబ్రవరిలో, పరిశోధకులు హాని కలిగించే సిస్టమ్లను మళ్లీ స్కాన్ చేయాలని నిర్ణయించుకున్నారు మరియు కొంతమంది వ్యక్తులు హెచ్చరికపై శ్రద్ధ చూపుతున్నారని మరియు 67% అపాచీ సూపర్సెట్ సర్వర్లు ఇప్పటికీ కాన్ఫిగరేషన్ ఉదాహరణలు, విస్తరణ టెంప్లేట్లు లేదా డాక్యుమెంటేషన్ నుండి కీలను ఉపయోగించడం కొనసాగిస్తున్నాయని కనుగొన్నారు. అదే సమయంలో, డిఫాల్ట్ కీలను ఉపయోగించే సంస్థలలో కొన్ని పెద్ద కంపెనీలు, విశ్వవిద్యాలయాలు మరియు ప్రభుత్వ సంస్థలు ఉన్నాయి.
నమూనా కాన్ఫిగరేషన్లో వర్కింగ్ కీని పేర్కొనడం ఇప్పుడు దుర్బలత్వం (CVE-2023-27524)గా పరిగణించబడుతుంది, ఇది Apache Superset 2.1 విడుదలలో లోపం యొక్క అవుట్పుట్ ద్వారా పరిష్కరించబడింది, ఇది పేర్కొన్న కీని ఉపయోగిస్తున్నప్పుడు ప్లాట్ఫారమ్ యొక్క ప్రారంభాన్ని అడ్డుకుంటుంది. ఉదాహరణలో (ప్రస్తుత సంస్కరణ యొక్క కాన్ఫిగరేషన్ ఉదాహరణలో పేర్కొన్న కీ మాత్రమే పరిగణనలోకి తీసుకోబడుతుంది, పాత రకం కీలు మరియు టెంప్లేట్లు మరియు డాక్యుమెంటేషన్ నుండి కీలు బ్లాక్ చేయబడవు). నెట్వర్క్లో దుర్బలత్వం కోసం తనిఖీ చేయడానికి ప్రత్యేక స్క్రిప్ట్ ప్రతిపాదించబడింది.
మూలం: opennet.ru