forum.opennet.ru

"Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах"	+/–
Сообщение от opennews (ok), 22-Дек-20, 11:33
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54298
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах, opennews, 22-Дек-20, 11:33 [смотреть все]

уязвимости 8212 это хорошо, банальные 8212 ещё лучше без работы не остане, хацкер, 22-Дек-20, 11:33 (1) //
- Болезни 8212 это хорошо, банальные 8212 ещё лучше без работы не останемся, Дохтар, 22-Дек-20, 17:40 (16) //
  - ох, как у вас подгорело, сударь -- люди смотрят на вашу обитель и звонят 01 не , хацкер, 22-Дек-20, 18:56 (18) //
    - Упражняешся в генерации ахинеи Подгорания уже пошли и прочее подростковое Перв, Дохтар, 22-Дек-20, 22:17 (19)
      - 1 Топик стартер мог быть более развит , Эни О Ним, 23-Дек-20, 10:27 (22)
        
        Жертвы посткапитализма не способны на это Поэтому и выдают подобные ментальные в, Дохтар, 23-Дек-20, 11:39 (25)
        
        Дохтар, памаги, Поциэнтэ, 23-Дек-20, 11:56 (28)
Опять сишные дыры На расте такой уязвимости бы не было , ИмяХ, 22-Дек-20, 11:38 (2) //
- Ни Раст, ни Си в новости не упоминается, а у сишника всё равно бомбит , Дедушка Анонимуса, 22-Дек-20, 11:40 (3) //
  - Тут у растоманов бомбит однако , Аноним, 22-Дек-20, 11:49 (4)
  - Вы таки что-то перепутали Сишники сидят и пишут код, а у растовиков ничего не р, Аноним, 22-Дек-20, 11:52 (5) //
    - вот только большинство новостей про ошибки почемуто на си а на расте, Анан, 22-Дек-20, 11:58 (6)
      - Как мыможем здесь видеть - большинство ошибок по русскому языку , rioko, 22-Дек-20, 12:06 (7)
Такие проблемы всегда были и будут Разрабы никогда их не решат, потому что авто, Аноним, 22-Дек-20, 12:12 (8) //
- Генерируется элементарно -----if grep -q SECRET_KEY invalid CONFIG_PATH , xi, 22-Дек-20, 13:48 (11) //
  - Grep sed Зачем ещё ифы , Anonymou, 22-Дек-20, 15:42 (13) //
    - один sed, зачем grep , Седоним, 22-Дек-20, 17:27 (15)
      - sed -i , даже ничего не сделавший, затрагивает время модификации файла - эт, xi, 23-Дек-20, 11:41 (26)
    - Для читаемости , Аноним, 22-Дек-20, 18:18 (17)
    - Т к иначе плохо работает в отладочном режиме для шелл скриптов Написание с if , Эни О Ним, 23-Дек-20, 10:34 (24)
    - многие проекты пишутся не для себя, и отдавать лучше в читаемом виде - эт, xi, 23-Дек-20, 11:51 (27)
- Эта проблема лечится элементарно В школе или родители Называется лень и бескулт, Эни О Ним, 23-Дек-20, 10:31 (23) //
  - И это, как ни странно, DevOps Когда грамотные админы приходят к разрабам и учат, rico, 23-Дек-20, 14:13 (29) //
    - Обычно происходит наоборот , Аноним, 23-Дек-20, 22:27 (30)
Ошибка, исправляемая одной строчкой в конфиге Но комментаторам ЯП не сидится , InuYasha, 22-Дек-20, 12:14 (9) //
- Это пиар системд, мол, с etc machine-id такого бы не было Всем срочно встроить, Аноним, 22-Дек-20, 13:35 (10)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру