• 我的位置:
  • 首頁(yè)
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Apache Airflow 錯(cuò)誤的會(huì)話驗(yàn)證漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):未知
    • 漏洞類型: CVE-2020-17526
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來(lái)源:深信服
    • 發(fā)布時(shí)間:2020-12-23
    • 更新時(shí)間:2021-01-13

    漏洞簡(jiǎn)介

    1、Apache Airflow 介紹

    Airflow 是 Airbnb 開(kāi)源的一個(gè)用 Python 編寫的調(diào)度工具。于 2014 年啟動(dòng),2015 年春季開(kāi)源,2016 年加入 Apache 軟件基金會(huì)的孵化計(jì)劃。Airflow 通過(guò) DAG 也即是有向非循環(huán)圖來(lái)定義整個(gè)工作流,因而具有非常強(qiáng)大的表達(dá)能力。

    2、漏洞描述

    Apache 官方在2020年12月21日發(fā)布的郵件中披露Apache Airflow 存在一個(gè)由于錯(cuò)誤處理會(huì)話驗(yàn)證導(dǎo)致的未授權(quán)訪問(wèn)漏洞。如果用戶使用了默認(rèn)的秘鑰配置,攻擊者就可以在其他的一個(gè)配置了默認(rèn)秘鑰的站點(diǎn)進(jìn)行登錄,接著以登錄后的session信息直接未授權(quán)訪問(wèn)受害者站點(diǎn)。

    漏洞公示

    暫無(wú)

    受影響實(shí)體

    目前受影響的Apache Airflow版本:

    Apache Airflow Web < 1.10.14

    補(bǔ)丁

    目前廠商已發(fā)布升級(jí)補(bǔ)丁修復(fù)漏洞,請(qǐng)受影響用戶及時(shí)更新官方補(bǔ)丁。官方鏈接如下:

    https://github.com/apache/airflow