ГлавнаяБаза уязвимостей БДУ → BDU:2022-06963
10критическая

BDU:2022-06963

Уязвимость параметра run_id функционала Example Dags программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2022-11-25
Описание

Уязвимость параметра run_id функционала Example Dags программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Затрагиваемое ПО и версии
Airflow (до 2.4.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности включения dag-примеров, позволяющих использовать пользовательский интерфейс для выполнения команд;
- использование антивирусных средств для детектирования и нейтрализации программ, эксплуатирующих уязвимость;
- использование средств межсетевого экранирования с целью ограничения возможности доступа из внешних сетей (Интернет).

Использование рекомендаций:
https://github.com/apache/airflow/pull/25960

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2022/11/14/2https://github.com/apache/airflow/pull/25960https://lists.apache.org/thread/cf132hgm6jvzvsbpsozl3plf1r4cwysy
Проверьте безопасность своего сайта и почты → Полная проверка домена