Apache Airflow错误会话漏洞 (CVE-2020-17526) 预警

一、基本情况

近日，Apache发布的邮件通告中披露Apache Airflow错误会话漏洞，对应CVE编号：CVE-2020-17526。攻击者可利用该漏洞进行未授权访问。目前，Apache已发布安全版本修复该漏洞，建议受影响用户及时升级至1.10.14及以上版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。

Apache Airflow 1.10.14之前版本存在错误会话漏洞，该漏洞源于不正确的会话验证，允许站点A上的airflow用户正常登录，从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。但漏洞并不影响已经改变[webserver] secret_key的默认值的用户。

四、影响范围

Apache Airflow <1.10.14

五、处置建议

1.官方修复建议：

Apache已发布修复版本，建议受影响用户及时升级。

下载链接：https://github.com/apache/airflow

2.临时缓解措施：

官方建议可通过更改“ [webserver] secret_key”配置的默认值的方法临时缓解漏洞影响。

六、参考链接

https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E

支持单位：

深信服科技股份有限公司

北京祥云网安科技有限责任公司

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。