На Openwall появился пост, в котором было опубликовано письмо специалиста по безопасности из Delivery Hero Korea Чон Хан Ли. В нём он рассказал об уязвимости, найденной им в популярном workflow-менеджере Apache Airflow.
По словам эксперта по кибербезопасности, некорректная валидация сессии, при использовании дефолтного файла конфигурации, приводила к следующей неприятной ситуации. Пользователь на сайте А, получал несанкционированный доступ к веб-серверу Airflow на сайте Б через сессию на сайте А.
Достаточно изменить значение «[webserver] secret_key» в файле airflow.cfg, чтобы проблема была решена
Сообщается, что всё это стало реальным из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является одинаковым абсолютно для всех установок. То есть достаточно изменить дефолтный файл конфигурации Airflow и проблема перестанет быть актуальной.
Источник: Openwall
Источник: