Apache Airflow 错误会话漏洞 (CVE-2020-17526)

地球胖头鱼 2020-12-22
Web安全 发布于 2020-12-22 16:26:20 阅读 283 评论 0

基本信息

  • 风险等级: 高危
  • 漏洞类型: 错误会话漏洞
  • 漏洞利用: 暂无
  • 漏洞编号:CVE-2020-17526

漏洞描述

截止到2020年12月22日14点30分,监测到Apache官方邮件通告了Apache Airflow错误会话漏洞,漏洞编号为CVE-2020-17526。在具有默认配置的Apache Airflow Web服务器版中(版本号 < 1.10.14),不正确的会话验证会允许站点A上的airflow用户正常登录,从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。

影响范围

受影响版本

Apache Airflow Web < 1.10.14

安全版本

Apache Airflow Web >= 1.10.14

解决方案

修复建议

如果目前无法升级,若业务环境允许,使用白名单限制访问来降低风险,同时可参考如下修复建议进行漏洞修复。

1、更改“ [webserver] secret_key”配置的默认值。

2、建议受影响的用户升级到安全版本。

注:升级时建议备份数据,避免发生意外。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章177
  • 作者收获粉丝6
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量2.8 万(每日更新)
查看所有博文