找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 121|回复: 0

安全通告:Apache Airflow错误会话漏洞(CVE-2020-17526)

[复制链接]
  • 打卡等级:炉火纯青
  • 打卡总天数:78
发表于 2020-12-24 12:22 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
漏洞说明】

2020年12月21日,Apache官方邮件发布安全公告,披露Apache Airflow错误会话漏洞,漏洞编号CVE-2020-17526。


                               
登录/注册后可看大图
如果用户配置默认密钥的Apache Airflow Web服务器,攻击者就可以在其他的一个配置了默认密钥的站点进行登录。登录后直接未授权访问受害者站点。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。
Apache Airflow是Airbnb一个Python 编写的开源工作流管理工具。目前是Apache软件基金会的孵化计划。Airflow 通过 DAG(有向无环图)来定义整个工作流,因而具有非常强大的表达能力。
【威胁等级】

高危

【影响范围】

Apache Airflow Web < 1.10.14

【解决方法】

  • 缓解措施
    更改[webserver] “secret_key”配置默认值。
  • 更新安全版本
    厂商已发布安全版本,请受影响用户尽快进行升级加固。安全版本获取链接:
    https://github.com/apache/airflow
【参考链接】
https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E

您需要登录后才可以回帖 登录 | 注册

本版积分规则

文字版|手机版|小黑屋|RSS|举报不良信息|精睿论坛 ( 鄂ICP备07005250号-1 )|网站地图

GMT+8, 2025-7-16 21:47 , Processed in 0.121050 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表