Новость:
Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах
Дата:
2020-12-23
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера.
Последние новости:
- Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США 2021-09-14
- Осеннее обновление стартовых наборов ALT p10 2021-09-14
- Новая техника эксплуатации уязвимостей класса Spectre в Chrome 2021-09-14
- Выпуск многопользовательской RPG-игры Veloren 0.11 2021-09-14
- BitTorrent-клиент Transmission переходит с Си на Си++ 2021-09-14