一、漏洞详情
近日,Apache发布的邮件通告中披露Apache Airflow错误会话漏洞,对应CVE编号:CVE-2020-17526。攻击者可利用该漏洞进行未授权访问。目前,Apache已发布安全版本修复该漏洞,建议受影响用户及时升级至1.10.14及以上版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 1.10.14之前版本存在错误会话漏洞,该漏洞源于不正确的会话验证,允许站点A上的airflow用户正常登录,从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。但漏洞并不影响已经改变[webserver] secret_key的默认值的用户。
二、影响范围
Apache Airflow <1.10.14
三、修复建议
1.官方修复建议:
Apache已发布修复版本,建议受影响用户及时升级。
下载链接:https://github.com/apache/airflow
2.临时缓解措施:
官方建议可以通过更改“ [webserver] secret_key”配置的默认值的方法临时缓解漏洞影响。
