漏洞预警|Apache Airflow 代码注入漏洞

点击上方蓝字关注我们

 漏洞预警

漏洞预警

01

漏洞基本概述

Vulnerability Overview

01


  Apache Airflow 的 Example Dags 存在命令注入漏洞,拥有 UI 访问权限且可以触发 DAG 的攻击者可以通过输入精心构造的run_id 参数执行任意命令。


【风险等级】高 危


  禾盾科技应急团队建议广大用户及时将Apache升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


02

漏洞影响范围

Vulnerability Impact

01


  Apache Airflow < 2.4.0


03

漏洞修复方案

Vulnerability Fixes

01


  目前Apache官方已正式发布修复版本,建议受影响的用户尽快升级至安全版本。

  【缓解方案】:禁止在不允许 UI 用户执行任意命令的系统上启用example dags。

  尽快将Apache Airflow升级到2.4.0以上版本

  下载链接:

https://airflow.apache.org/docs/apache-airflow/stable/installation/installing-from-sources.html


04

漏洞参考链接

Vulnerability Fixes Link

01


https://lists.apache.org/thread/cf132hgm6jvzvsbpsozl3plf1r4cwysy


05

漏洞时间滚轴

Vulnerability Time

#发现时间#2022年11月14日

#验证时间#2022年11月15日

#通告时间#2022年11月16日


END

查看原文