漏洞描述:
Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。"expose_config"是Apache Airflow中的一个配置选项,用于指定是否公开敏感配置信息,设置为"non-sensitive-only"时只公开非敏感信息。
Airflow 受影响版本中,由于 configuration.py 对配置文件中的敏感信息(key)仅通过字符串匹配进行限制,但是未考虑大小写。当 airflow 配置 expose_config 为 non-sensitive-only 时,如果配置文件 airflow.cfg 中的敏感信息的 key 中具有大写字符时将会绕过访问限制,经过身份验证的用户可查看 airflow 的配置文件中的敏感信息。
影响范围:
airflow[2.7.0, 2.7.2)
修复方案:
将组件 airflow 升级至 2.7.2 及以上版本
参考链接:
https://seclists.org/oss-sec/2023/q4/92
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Airflow信息泄漏漏洞 CVE-2023-45348
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论