• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 中間件
  • -
    • Apache Airflow 錯誤的會話驗證漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:未知
    • 漏洞類型: CVE-2020-17526
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-23
    • 更新時間:2021-01-13

    漏洞簡介

    1、Apache Airflow 介紹

    Airflow 是 Airbnb 開源的一個用 Python 編寫的調(diào)度工具。于 2014 年啟動,2015 年春季開源,2016 年加入 Apache 軟件基金會的孵化計劃。Airflow 通過 DAG 也即是有向非循環(huán)圖來定義整個工作流,因而具有非常強大的表達能力。

    2、漏洞描述

    Apache 官方在2020年12月21日發(fā)布的郵件中披露Apache Airflow 存在一個由于錯誤處理會話驗證導致的未授權訪問漏洞。如果用戶使用了默認的秘鑰配置,攻擊者就可以在其他的一個配置了默認秘鑰的站點進行登錄,接著以登錄后的session信息直接未授權訪問受害者站點。

    漏洞公示

    暫無

    受影響實體

    目前受影響的Apache Airflow版本:

    Apache Airflow Web < 1.10.14

    補丁

    目前廠商已發(fā)布升級補丁修復漏洞,請受影響用戶及時更新官方補丁。官方鏈接如下:

    https://github.com/apache/airflow