12月21日,Apache官方邮件通告了Apache Airflow错误会话漏洞(CVE-2020-17526)
1
漏洞详情
在具有默认配置的Apache Airflow Web服务器版中(版本号 < 1.10.14),不正确的会话验证会允许站点A上的airflow用户正常登录,从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。
Apache Airflow是一个开源工作流管理平台。
2漏洞编号
CVE-2020-17526
3
漏洞等级
高危
4
受影响的版本
Apache Airflow Web < 1.10.14
5
安全版本
Apache Airflow Web >= 1.10.14
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,Apache Airflow Web服务器分布于世界各地。美国、爱尔兰、德国位居前三,占比超过70%。中国大陆地区,北京、浙江、上海、广东四省市占比超过90%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系es@tencent.com了解产品详情。
7
漏洞缓解建议
更改“ [webserver] secret_key”配置的默认值。
腾讯安全专家建议受影响的用户升级到安全版本。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-35626
https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E
招聘广告
腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到huntchen@tencent.com,诚邀加盟!
更多岗位信息,请点击这里查阅!