67% 的公共 Apache Superset 服务器使用配置示例中的访问密钥

Horizo​​n3 的研究人员注意到 Apache Superset 数据分析和可视化平台的大多数安装中存在安全问题。 在所研究的 2124 台 Apache Superset 公共服务器中,有 3176 台检测到样本配置文件中默认指定的通用加密密钥的使用。 此密钥在 Flask Python 库中用于生成会话 cookie,这允许知道密钥的攻击者生成虚构的会话参数,连接到 Apache Superset web 界面并从绑定的数据库加载数据,或者使用 Apache Superset 权限组织代码执行.

有趣的是,研究人员最初在 2021 年向开发人员报告了该问题,此后,在 1.4.1 年 2022 月形成的 Apache Superset XNUMX 版本中,SECRET_KEY 参数的值被替换为字符串“CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”,检查是添加到代码中,如果这个值输出警告到日志。

今年二月,研究人员决定再次扫描易受攻击的系统,结果发现很少有人关注警告,67%的人没有注意到警告。 服务器 Apache Superset 继续使用来自配置示例、部署模板或文档的密钥。但是,一些大型公司、大学和政府机构等组织则使用默认密钥。


67% 的公共 Apache Superset 服务器使用配置示例中的访问密钥

在示例配置中指定工作密钥现在被视为漏洞 (CVE-2023-27524),该漏洞已在 Apache Superset 2.1 版本中修复,方法是在使用指定密钥时输出阻止平台启动的错误在示例中(仅考虑当前版本配置示例中指定的密钥,旧类型密钥以及模板和文档中的密钥未被阻止)。 已经提出了一个特殊的脚本来检查网络上的漏洞。


67% 的公共 Apache Superset 服务器使用配置示例中的访问密钥


来源: opennet.ru
为具有 DDoS 保护、VPS VDS 服务器的站点购买可靠的主机 🔥 购买具备 DDoS 防护的可靠网站托管服务,包括 VPS 和 VDS 服务器 | ProHoster