На Openwall возник пост, в каком было размещено письмо спеца по сохранности из Delivery Hero Korea Чон Хан Ли. В нём он сказал о уязвимости, отысканной им в пользующемся популярностью workflow-менеджере Apache Airflow.
По словам профессионала по кибербезопасности, неправильная валидация сессии, при использовании дефолтного файла конфигурации, приводила к последующей противной ситуации. Юзер на веб-сайте А, получал несанкционированный доступ к веб-серверу Airflow на веб-сайте Б через сессию на веб-сайте А.
Довольно поменять значение «[webserver] secret_key» в файле airflow.cfg, чтоб неувязка была решена
Сообщается, что всё это сделалось настоящим из-за использовании в airflow.cfg временного ключа. Он, в свою очередь, является схожим полностью для всех установок. Другими словами довольно поменять дефолтный файл конфигурации Airflow и неувязка не станет быть животрепещущей.
Источник: Openwall
Источник: