Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告

  • A+
所属分类:安全漏洞

12月21日,Apache官方邮件通告了Apache Airflow错误会话漏洞(CVE-2020-17526)


1

漏洞详情


在具有默认配置的Apache Airflow Web服务器版中(版本号 < 1.10.14),不正确的会话验证会允许站点A上的airflow用户正常登录,从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。

 

Apache Airflow是一个开源工作流管理平台。


2漏洞编号


CVE-2020-17526


3

漏洞等级

高危


4

受影响的版本


Apache Airflow Web < 1.10.14


5

安全版本


Apache Airflow Web >= 1.10.14


6

腾讯安全网络空间测绘


腾讯安全网络空间测绘结果显示,Apache Airflow Web服务器分布于世界各地。美国、爱尔兰、德国位居前三,占比超过70%。中国大陆地区,北京、浙江、上海、广东四省市占比超过90%。

Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系[email protected]了解产品详情。


7

漏洞缓解建议


更改“ [webserver] secret_key”配置的默认值。


腾讯安全专家建议受影响的用户升级到安全版本。


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告


参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2020-35626

https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E


Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告

招聘广告

Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告

腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到[email protected],诚邀加盟!


更多岗位信息,请点击这里查阅!


本文始发于微信公众号(腾讯安全威胁情报中心):Apache Airflow错误会话漏洞( CVE-2020-17526)风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: