尊敬的用戶，您好！

       根據(jù)您互聯(lián)網(wǎng)安全運營中心監(jiān)測到，Apache官方發(fā)布安全通告，披露了Apache Airflow錯誤會話漏洞，漏洞編號CVE-2020-17526。

為避免您的業(yè)務(wù)受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。

據(jù)官方描述，在默認配置的 Apache Airflow Web服務(wù)器版中（版本號 <1.10.14），存在由于錯誤處理會話驗證導(dǎo)致的未授權(quán)訪問漏洞。這樣不正確的會話驗證，允許攻擊者利用已經(jīng)通過驗證登陸的會話session，去未授權(quán)訪問有其他默認配置的Airflow站點。

該漏洞不影響修改了“[webserver] secret_key”配置的用戶。

風(fēng)險等級

中

漏洞風(fēng)險

攻擊者可利用該漏洞未授權(quán)訪問

影響版本

Apache Airflow Web < 1.10.14

安全版本

Apache Airflow Web >= 1.10.14

修復(fù)建議

1.修改’[webserver] secret_key‘ 默認配置

2.升級到Apache Airflow最新版本

官方鏈接：

https://github.com/apache/airflow

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E

棉花云運營部