 fox
II/IDEC networks :: lor-opennet.17 :: / Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах
|
Login |
[#]
Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах
Новостной_робот(mira, 1) — All
2020-12-22 20:00:02
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=54298
Новостной_робот(mira, 1) — All
2020-12-22 20:00:02
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=54298