Муҳаққиқони Horizon3 мушкилоти амниятро дар аксари насбҳои платформаи таҳлил ва визуализатсияи додаҳои Apache Superset мушоҳида карданд. Дар 2124 аз 3176 серверҳои ҷамъиятии Apache Superset омӯхташуда, истифодаи калиди рамзгузории умумӣ, ки бо нобаёнӣ дар файли конфигуратсияи намунавӣ муайян шудааст, ошкор карда шуд. Ин калид дар китобхонаи Flask Python барои тавлиди кукиҳои сессия истифода мешавад, ки ба ҳамлагар имкон медиҳад, ки калидро медонад, параметрҳои сеанси тахайюлӣ тавлид кунад, ба интерфейси веби Apache Superset пайваст шавад ва маълумотро аз пойгоҳи додаҳои басташуда бор кунад ё иҷрои кодро бо ҳуқуқи Apache Superset ташкил кунад. .
Ҷолиб он аст, ки муҳаққиқон дар аввал ин мушкилотро дар соли 2021 ба таҳиягарон гузориш доданд, ки пас аз он дар нашри Apache Superset 1.4.1, ки дар моҳи январи соли 2022 ташкил шуда буд, арзиши параметри SECRET_KEY бо сатри "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" иваз карда шуд, чек буд. ба код илова карда мешавад, агар ин арзишҳо дар гузориш огоҳӣ медиҳанд.
Дар моҳи феврали соли ҷорӣ, муҳаққиқон тасмим гирифтанд, ки системаҳои осебпазирро дубора тафтиш кунанд ва дарёфтанд, ки шумораи ками одамон ба огоҳӣ аҳамият медиҳанд ва 67% серверҳои Apache Superset то ҳол истифодаи калидҳоро аз мисолҳои конфигуратсия, қолабҳои ҷойгиркунӣ ё ҳуҷҷатҳо идома медиҳанд. Ҳамзамон, баъзе аз ширкатҳои бузург, донишгоҳҳо ва муассисаҳои давлатӣ аз ҷумлаи созмонҳое буданд, ки калидҳои пешфарзро истифода мебаранд.
Муайян кардани калиди корӣ дар конфигуратсияи намунавӣ ҳоло ҳамчун осебпазирӣ қабул карда мешавад (CVE-2023-27524), ки дар нашри Apache Superset 2.1 тавассути натиҷаи хатое, ки оғози платформаро ҳангоми истифодаи калиди муайяншуда манъ мекунад, ислоҳ карда мешавад. дар мисол (танҳо калиди дар мисоли конфигуратсияи версияи ҷорӣ нишондодашуда ба назар гирифта мешавад, калидҳои навъи кӯҳна ва калидҳо аз қолабҳо ва ҳуҷҷатҳо баста намешаванд). Барои санҷидани осебпазирӣ дар шабака скрипти махсус пешниҳод шудааст.
Манбаъ: opennet.ru