漏洞预警|Apache Airflow 代码注入漏洞
点击上方蓝字关注我们
漏洞预警
01
漏洞基本概述
Vulnerability Overview
Apache Airflow 的 Example Dags 存在命令注入漏洞,拥有 UI 访问权限且可以触发 DAG 的攻击者可以通过输入精心构造的run_id 参数执行任意命令。
【风险等级】高 危
禾盾科技应急团队建议广大用户及时将Apache升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
02
漏洞影响范围
Vulnerability Impact
Apache Airflow < 2.4.0
03
漏洞修复方案
Vulnerability Fixes
目前Apache官方已正式发布修复版本,建议受影响的用户尽快升级至安全版本。
【缓解方案】:禁止在不允许 UI 用户执行任意命令的系统上启用example dags。
尽快将Apache Airflow升级到2.4.0以上版本
下载链接:
https://airflow.apache.org/docs/apache-airflow/stable/installation/installing-from-sources.html
04
漏洞参考链接
Vulnerability Fixes Link
https://lists.apache.org/thread/cf132hgm6jvzvsbpsozl3plf1r4cwysy
05
漏洞时间滚轴
Vulnerability Time
#发现时间#2022年11月14日
#验证时间#2022年11月15日
#通告时间#2022年11月16日
END