Horizon3 tadqiqotchilari Apache Superset maʼlumotlar tahlili va vizualizatsiya platformasining aksariyat oʻrnatishlarida xavfsizlik muammolarini payqashdi. O'rganilgan 2124 ta Apache Superset umumiy serverlaridan 3176 tasida namunaviy konfiguratsiya faylida sukut bo'yicha belgilangan umumiy shifrlash kalitidan foydalanish aniqlandi. Ushbu kalit Flask Python kutubxonasida seans kukilarini yaratish uchun ishlatiladi, bu kalitni biladigan tajovuzkorga xayoliy sessiya parametrlarini yaratish, Apache Superset veb-interfeysiga ulanish va bog'langan ma'lumotlar bazalaridan ma'lumotlarni yuklash yoki Apache Superset huquqlari bilan kod bajarilishini tashkil qilish imkonini beradi. .
Qizig'i shundaki, tadqiqotchilar dastlab ishlab chiquvchilarga muammo haqida 2021 yilda xabar berishgan, shundan so'ng 1.4.1 yil yanvar oyida yaratilgan Apache Superset 2022 versiyasida SECRET_KEY parametrining qiymati "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" qatori bilan almashtirilgan. kodga qo'shildi, agar bu qiymatlar jurnalga ogohlantirish chiqaradi.
Joriy yilning fevral oyida tadqiqotchilar zaif tizimlarni qayta tekshirishga qaror qilishdi va kam odam ogohlantirishga e'tibor berishini va Apache Superset serverlarining 67 foizi hali ham konfiguratsiya misollari, joylashtirish shablonlari yoki hujjatlardagi kalitlardan foydalanishda davom etishini aniqladilar. Shu bilan birga, ba'zi yirik kompaniyalar, universitetlar va davlat idoralari standart kalitlardan foydalanadigan tashkilotlar qatoriga kirdi.
Namuna konfiguratsiyasida ishchi kalitni ko'rsatish endi zaiflik sifatida qabul qilinadi (CVE-2023-27524), bu Apache Superset 2.1 versiyasida ko'rsatilgan kalitdan foydalanishda platformani ishga tushirishni bloklaydigan xato chiqishi orqali tuzatiladi. misolda (faqat joriy versiyaning konfiguratsiya misolida ko'rsatilgan kalit hisobga olinadi, eski turdagi kalitlar va shablonlar va hujjatlardagi kalitlar bloklanmaydi). Tarmoqdagi zaiflikni tekshirish uchun maxsus skript taklif qilingan.
Manba: opennet.ru