【漏洞通告】Apache Airflow信息泄露漏洞（CVE-2023-45348）

Apache Airflow 是一个能够开发、调度和监控工作流的编排平台。

10月16日，启明星辰VSRC监测到Apache发布安全公告，修复了Apache Airflow中的一个信息泄露漏洞（CVE-2023-45348）。Apache Airflow 版本 2.7.0 和 2.7.1中，当expose_config选项（默认为False）设置为 non-sensitive-only时，经过身份验证的威胁者可利用该漏洞获取敏感配置信息。

此外，Apache Airflow中还修复了对DAG 资源的访问控制不当漏洞（CVE-2023-42792，中危）、List dag warnings功能中的访问控制不当漏洞（CVE-2023-42780，低危），以及权限检查绕过漏洞（CVE-2023-42663，低危），这些漏洞影响了Apache Airflow 2.7.2 之前的版本，经过身份验证或对某些 DAG 具有有限访问权限的威胁者可通过利用这些漏洞获取敏感信息或执行未授权操作等。

二、影响范围

CVE-2023-45348：

Apache Airflow版本2.7.0 - 2.7.1

CVE-2023-42792、CVE-2023-42780、CVE-2023-42663：

Apache Airflow版本< 2.7.2

三、安全措施

3.1 升级版本

目前这些漏洞已经修复，受影响用户可升级到Apache Airflow 2.7.2或更高版本。

下载链接：

https://github.com/apache/airflow/releases

3.2 临时措施

针对CVE-2023-45348，可通过将expose_config选项恢复为默认的False（完全隐藏配置）来缓解该漏洞。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://lists.apache.org/thread/sy4l5d6tn58hr8r61r2fkt1f0qock9z9

https://github.com/apache/airflow/pull/34712

https://airflow.apache.org/docs/apache-airflow/stable/configurations-ref.html#expose-config

长按添加关注，为您保驾护航！

原文始发于微信公众号（网安百色）：【漏洞通告】Apache Airflow信息泄露漏洞（CVE-2023-45348）