Awọn oniwadi lati Horizon3 fa ifojusi si awọn iṣoro aabo ni ọpọlọpọ awọn fifi sori ẹrọ ti itupalẹ data Apache Superset ati iru ẹrọ iworan. Lori 2124 ninu awọn olupin gbangba 3176 ti a ṣe iwadi pẹlu Apache Superset, lilo bọtini fifi ẹnọ kọ nkan boṣewa ti a sọ nipa aiyipada ni faili iṣeto apẹẹrẹ ni a rii. Bọtini yii ni a lo ninu ile-ikawe Flask Python lati ṣe agbekalẹ Awọn kuki igba, eyiti ngbanilaaye ikọlu ti o mọ bọtini lati ṣe agbekalẹ awọn aye igba arosọ, sopọ si wiwo wẹẹbu Apache Superset ati fifuye data lati awọn data data ti o sopọ, tabi ṣeto ipaniyan koodu pẹlu awọn ẹtọ Apache Superset .
O yanilenu, awọn oniwadi naa kọkọ sọ fun awọn olupilẹṣẹ nipa iṣoro naa pada ni ọdun 2021, lẹhinna ninu itusilẹ Apache Superset 1.4.1, ti a ṣẹda ni Oṣu Kini ọdun 2022, iye ti paramita SECRET_KEY ti rọpo pẹlu laini “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, ayẹwo kan jẹ kun si koodu naa, ti iye yii ba ṣe ikilọ kan si log.
Ni Kínní ti ọdun yii, awọn oniwadi pinnu lati tun ọlọjẹ ti awọn eto ipalara ati pe wọn dojuko pẹlu otitọ pe awọn eniyan diẹ ṣe akiyesi ikilọ ati 67% ti awọn olupin Apache Superset tun tẹsiwaju lati lo awọn bọtini lati awọn apẹẹrẹ iṣeto, awọn awoṣe imuṣiṣẹ tabi iwe. Ni akoko kanna, diẹ ninu awọn ile-iṣẹ nla, awọn ile-ẹkọ giga ati awọn ile-iṣẹ ijọba wa laarin awọn ajo ti nlo awọn bọtini aiyipada.
Ti n ṣalaye bọtini iṣẹ kan ninu iṣeto apẹẹrẹ ni a rii ni bayi bi ailagbara (CVE-2023-27524), eyiti o wa titi ninu itusilẹ ti Apache Superset 2.1 nipasẹ iṣelọpọ aṣiṣe ti o ṣe idiwọ pẹpẹ lati bẹrẹ nigba lilo bọtini ti a sọ pato ninu apẹẹrẹ (nikan bọtini kan pato ninu awọn iṣeto ni apẹẹrẹ ti awọn ti isiyi ti ikede ti wa ni ya sinu iroyin, atijọ boṣewa bọtini ati awọn bọtini lati awọn awoṣe ati awọn iwe ti wa ni ko dina). A ti dabaa iwe afọwọkọ pataki lati ṣayẹwo fun awọn ailagbara lori nẹtiwọọki naa.
orisun: opennet.ru