漏洞描述:
Apache Airflow 是一个开源的工作流自动化平台,Apache Airflow CNCF Kubernetes provider 是给 Airflow 提供Kubernetes支持的工具包,Apache Airflow CNCF Kubernetes provider 5.2.0及之后版本中,当使用 Kubernetes 配置文件路径的可延迟模式进行身份验证时,Airflow worker 会将该配置文件序列化为字典并将其存储在元数据中,在不进行任何加密的情况下将其发送给触发器。同时,如果 Apache Airflow CNCF Kubernetes provider 与2.3.0至2.6.0之间的Airflow版本一起使用,配置字典将以纯文本的形式记录在触发器服务中,而不进行任何掩码处理,使得有权限访问元数据或触发器日志的用户可获取Kubernetes配置文件信息,并访问Kubernetes集群,Apache Airflow CNCF Kubernetes provider 7.0.0版本停止了文件内容的序列化,而是通过提供文件路径以将内容读入触发器修复此漏洞。
影响范围:
apache-airflow-providers-cncf-kubernetes[5.2.0, 7.0.0)
apache-airflow[2.3.0, 2.6.1)
修复方案:
将组件 apache-airflow-providers-cncf-kubernetes 升级至 7.0.0 及以上版本
将组件 apache-airflow 升级至 2.6.1 及以上版本
参考链接:
https://github.com/apache/airflow/pull/29498
https://github.com/apache/airflow/pull/30110
https://github.com/apache/airflow/pull/36492
https://lists.apache.org/thread/89x3q6lz5pykrkr1fkr04k4rfn9pvnv9
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Airflow 存在Kubernetes配置文件泄露风险 CVE-2023-51702
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论