ГлавнаяБаза уязвимостей БДУ → BDU:2024-03447
5.1средняя

BDU:2024-03447

Уязвимость сетевого программного средства Airflow FTP Provider, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-05-03
Описание

Уязвимость сетевого программного средства Airflow FTP Provider связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Airflow FTP Provider (до 3.7.0)
Способ устранения

Использование рекомендаций:
https://github.com/apache/airflow/pull/38266/commits/7f9e5f7a1cf79125da6a159400df258594085689
https://github.com/apache/airflow/blob/95e26118b828c364755f3a8c96870f3591b01c31/airflow/providers/ftp/hooks/ftp.py#L280
https://airflow.apache.org/docs/apache-airflow-providers-ftp/3.7.0/index.html
https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2

Компенсирующие меры:
Для корректной проверки сертификата по умолчанию используйте конфигурацию:
context=ssl.create_default_context()

Оценка CVSS
Балл5.1 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/04/19/3https://docs.python.org/3/library/ssl.html#best-defaultshttps://github.com/apache/airflow/blob/95e26118b828c364755f3a8c96870f3591b01c31/airflow/providers/ftp/hooks/ftp.py#L280https://github.com/apache/airflow/pull/38266https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2https://vuldb.com/ru/?id.261591
Проверьте безопасность своего сайта и почты → Полная проверка домена