漏洞公告
漏洞信息
Airflow广泛应用于数据工程、数据分析、机器学习和任务自动化等领域,可以管理复杂的数据处理流程和任务调度,并提供可视化的界面和监控功能,以方便用户管理和监控任务的执行情况。它提供了一种灵活、可编程的方式来定义和执行各种类型的工作流,并支持任务间的依赖关系和调度策略,使得数据处理和任务自动化变得更加高效和可靠。
1、 Apache Airflow ODBC Provider存在远程代码执行漏洞(CVE-2023-34395)
| 漏洞标题 |
Apache Airflow ODBC Provider存在远程代码执行漏洞 |
||
| 应急响应等级 | 3级 | ||
| 漏洞类型 | 远程代码执行 | ||
| 影响目标 | 影响厂商 |
Apache |
|
| 影响产品 |
Airflow ODBC Provider |
||
| 影响版本 |
(-∞,4.0.0) |
||
| 安全版本 |
4.0.0 |
||
| 漏洞编号 | CVE编号 |
CVE-2023-34395 |
|
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 |
DM-202306-000229 |
||
| 漏洞标签 | 开源组件漏洞 | ||
| CVSS3.1评分 |
9.8(安恒自评) |
危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 |
||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 分析中 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
2、Apache Airflow JDBC Provider存在远程代码执行漏洞(CVE-2023-22886)
| 漏洞标题 |
Apache Airflow JDBC Provider存在远程代码执行漏洞 |
||
| 应急响应等级 | 3级 | ||
| 漏洞类型 | 远程代码执行 | ||
| 影响目标 | 影响厂商 |
Apache |
|
| 影响产品 |
Airflow JDBC Provider |
||
| 影响版本 |
(-∞,4.0.0) |
||
| 安全版本 |
4.0.0 |
||
| 漏洞编号 | CVE编号 |
CVE-2023-22886 |
|
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 |
DM-202301-000695 |
||
| 漏洞标签 | 开源组件漏洞 | ||
| CVSS3.1评分 |
9.8(安恒自评) |
危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 分析中 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
涉及产品主要使用客户行业分布较为广泛,建议客户尽快做好自查及防护。
修复方案
官方修复方案:
建议用户将产品立即升级到安全版本4.0.0,以保护系统的安全性:
https://airflow.apache.org/docs/apache-airflow-providers-odbc/stable/index.html
https://airflow.apache.org/docs/apache-airflow-providers-jdbc/stable/index.html
参考资料
https://seclists.org/oss-sec/2023/q2/280
https://seclists.org/oss-sec/2023/q2/281
https://airflow.apache.org/docs/apache-airflow-providers-odbc/stable/index.html
https://airflow.apache.org/docs/apache-airflow-providers-jdbc/stable/index.html
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑。
安恒信息CERT
2023年6月
原文始发于微信公众号(安恒信息CERT):【风险通告】Apache Airflow多个高危漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论