【漏洞通告】Apache Airflow多个漏洞安全风险通告
2023-6-27 20:50:27 Author: 嘉诚安全(查看原文) 阅读量:29 收藏

点击上方蓝字关注我们!

漏洞背景

近日,嘉诚安全监测到Apache Airflow 发布安全公告,Apache Airflow ODBC Provider和Apache Airflow JDBC Provider存在远程代码执行漏洞,漏洞编号为:CVE-2023-34395、CVE-2023-22886。

Airflow广泛应用于数据工程、数据分析、机器学习和任务自动化等领域,可以管理复杂的数据处理流程和任务调度,并提供可视化的界面和监控功能,以方便用户管理和监控任务的执行情况。它提供了一种灵活、可编程的方式来定义和执行各种类型的工作流,并支持任务间的依赖关系和调度策略,使得数据处理和任务自动化变得更加高效和可靠。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

1.CVE-2023-34395

Apache Airflow ODBC Provider远程代码执行漏洞,经研判,该漏洞为高危漏洞。在 ODBC hook 中,由于可控制的 ODBC 驱动程序参数,系统存在一个权限提升漏洞,允许攻击者加载任意的动态链接库,导致命令执行。

2.CVE-2023-22886

Apache Airflow JDBC Provider远程代码执行漏洞,经研判,该漏洞为高危漏洞。Apache Airflow JDBC Provider程序没有对URL的访问做出限制,可能导致攻击者远程代码执行不同类型的JDBC驱动程序,获取Airflow服务器权限。

危害影响

受影响版本:

<4.0.0版本

修复建议

根据影响版本中的信息,建议相关用户尽快更新至安全版本,即4.0.0版本,下载链接请参考:

https://airflow.apache.org/docs/apache-airflow-providers-odbc/stable/index.html

https://airflow.apache.org/docs/apache-airflow-providers-jdbc/stable/index.html



文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY4MDAyNQ==&mid=2247491713&idx=1&sn=f9410dfb1da6e687327b75bfaabdd60b&chksm=fdf53337ca82ba21743293cf4e683739b977b8d1194d2a1c579677082cc545bebd51279d434d#rd
如有侵权请联系:admin#unsafe.sh