URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130306
[ Назад ]
Исходное сообщение
"67% публичных серверов Apache Superset используют ключ доступа из примера настроек"
Отправлено opennews , 26-Апр-23 09:34 
Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и  визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу  Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59036

Содержание
Сообщения в этом обсуждении
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 26-Апр-23 09:34 
Девляпс во всей красе.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 22:28 
Небось там так непросто свои ключи сгенерировать, что при установке ставят дефолтные.

Камень в сторону авторов.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 07:46 
Нормальный девопс начинает подготовку развёртывания с двух вопросов:
1) Какие параметры нужны для запуска
2) Что с безопасностью и мониторингом.
Да, желательно это сделать как можно более просто. Но не примитивно.

З.Ы. Как только слышу приставку "Апач" в названии соытины, так сразу рефлекторно делаю "бэээ".

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 07:49 
1) Где слямзить готовый образ для докерка
2) Как бы его запустить с минимумом усилий и пойти пить смузи
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 12:39 
Ты так это написал, как-будто в этом есть что-то плохое (кроме смузи).
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено анон , 27-Апр-23 14:22 
Если это не кубер и не локалхост админа/разработчика, то нахрена он нужен?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 10-Май-23 11:25 
> Если это не кубер и не локалхост админа/разработчика, то нахрена он нужен?

Прикинь, на одном хосте ты несколько сервисов на одном порту не запустишь! И память сервису не ограничишь. И полядра не дашь. И диск не ограничишь.


"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено анон , 27-Апр-23 14:20 
Покажи мне инженеров аджайл, инженеров скрам. Как илиоты со своим "девопс". Что умеет ваш девопс, чего не умеет админ?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 14:40 
Смузи пить и брить бороду в барбершопе?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 27-Апр-23 20:48 
Носить штаны-колготки и фоткать себяшки в инсту
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено PV , 28-Апр-23 00:51 
Проходить собеседования, зарабатывать бабки, управлять больше чем 10ю серверами на заводе.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Kotlin твой любимый язык , 27-Апр-23 08:50 
Скорее это обычные васяны.
Где скажем жкс найдет деньги на dev ops с их зп в 300к.
Помимо этого есть и другие мелкие организации, которые в айти понимают не больше Васяна, как-то настроилось, как-то работает и ладно.

И таких людей миллиарды. Иногда 5 точка очень сильно печет от того, как безграмотные настраивают базовые вещи. Но приходится контролировать свои эмоции, чтобы не ссориться с людьми. (за кучу лет устал с кем-либо спорить от чём-либо)

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 27-Апр-23 20:52 
Представь, пришёл ты к врачу, а он тебе гневную тираду, как хреново ты следишь за свои здоровьем. Придёшь к нему повторно после этого?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено iFRAME , 30-Апр-23 11:14 
Если он кроме гневной тирады может сказать как это исправить - то точно да и не раз. Такие врачи на вес золота.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Анониссимус , 07-Май-23 02:56 
При наличии более вежливого выберу вежливого, если он будет так же хорошо лечить. А если нет -- то к такому, какой есть.

Зубник был один у меня, вредный довольно, постоянно бурчал и поучал. Зато лечил хорошо и внушил, что за зубами следить надо.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:35 
Логины и пароли зло говорили они. Меняйте их на ключи говорили они.
В итоге что?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:46 
по идее, ломается всё, что пароли-ключи, что биометрия
в материальном мире полагаться на что то материальное не имеет смысла
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Товарищ майор , 26-Апр-23 09:49 
А на что имеет? На идеалистическое?
Бог, в плане информационной безопасности, такой себе советник.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:51 
>в материальном мире полагаться на что то материальное не имеет смысла

Согласен. Пароли надо хранить в молитвах, возносимых господу нашему. Если кто использует их для взлома, тот сразу телепортируется в ад живым.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:48 
думаешь никогда не бывает такого, что люди не меняют дефолтные логин-пароль? да я тебе могу дать пачку запросов в гугл, по которым можно найти свежие установки определенных CMS, и с вероятностью в 67% в их админку можно попасть по дефолтным admin:admin.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:17 
Так уж и быть давай свои запросы, посмотрим сколько там на самом деле процентов и не врёшь ли ты нам.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:38 
Это примерно как при автомобильной аварии говорить, что надо пересаживаться на лошадей.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 11:54 
Это пример того как нельзя писать инсталлер, который не запрашивает хотя бы пароль или не генерирует ключ.
Что мешало вместо проверки в виде вывода предупреждения, что надо поменять ключ, генерировать этот ключ?
И да не помешало бы некоторым пересесть на лошадей, а может и не лошадей так же!
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено YetAnotherOnanym , 26-Апр-23 12:52 
Оберегать человека от его собственной глупости - путь к деградации общества в целом.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 13:23 
Путь к деградации допускать глупых людей к управлению сложными вещами.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 26-Апр-23 09:35 
Ну и разработчики тоже хороши.

"в код была добавлена проверка, при наличии данного значения выводящая в лог предупреждение"

А не запускаться, пока значение не изменили, никак?

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:42 
А потом окажется что за все года что была уязвимость никакого не взломали потому что эти данные никому не нужны. Зачем тебе визуализация распределения сотрудников по возрасту? Что ты будешь делать с этой ценной информацией?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено 1 , 26-Апр-23 10:29 
Тут скорее про это - "организовать выполнение кода с правами Apache Superset." Неторопливый майнер запустить, например.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Товарищ майор , 26-Апр-23 09:47 
Ну можно, например, сделать генерацию псевдослучайного ключа, если он не задан.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 07:49 
Нет, товарищ майор. Всё должно быть по инструкции: нет переменной -- нет работы.

Лучше с грохотом надёжно упасть, чем может быть криво работать.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 08:13 
Не всегда. Смотря что у вас за система и какой характер носит исполнение.
Есть системы, которым падать нельзя вообще - лучше криво-косо, но отработать.
А модуль контроля, который в таких системах есть - ошибку основных модулей зафиксирует, если сможет - исправит, потому что там вторичная логика контроля, написанная несколько иначе, и отправит отчёт о том, что основной модуль в очередной раз что-то про***л.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 12:58 
> Не всегда. Смотря что у вас за система и какой характер носит
> исполнение.
> Есть системы, которым падать нельзя вообще - лучше криво-косо, но отработать.

Если для такой системы это критично -- значит в такой системе подобной ситуации не должно возникнуть изначально.

> А модуль контроля, который в таких системах есть - ошибку основных модулей
> зафиксирует, если сможет - исправит, потому что там вторичная логика контроля,
> написанная несколько иначе, и отправит отчёт о том, что основной модуль
> в очередной раз что-то про***л.

Ты сейчас написал тихий ужас любого оператора атомного реактора или пилота самолёта.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 14:38 
> Если для такой системы это критично -- значит в такой системе подобной
> ситуации не должно возникнуть изначально.

Да, и ошибок в коде тоже вообще быть не должно. Но они есть. Мир вообще не идеален, приходится подстраиваться.

> Ты сейчас написал тихий ужас любого оператора атомного реактора или пилота самолёта.

Это не тихий ужас, это штатная ситуация в таких системах. Системы дублируются, причём разным кодом и разным железом.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 08:14 
(это не про пароли кнешн, но например если у вас из-за одной ошибки модуля упадёт весь софтсвитч на 100500 абонентов - веселья будет немеряно)
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Товарищ майор , 27-Апр-23 10:22 
> Нет, товарищ майор. Всё должно быть по инструкции: нет переменной -- нет
> работы.
> Лучше с грохотом надёжно упасть, чем может быть криво работать.

Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз - тот ещё геморрой.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 12:59 
> Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз -
> тот ещё геморрой.

Тем более, пока не поздно нужно падать с грохотом. Лучше никак, чем кое-как.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 27-Апр-23 14:38 
Запустил ты ядерный реактор - и он остановился. С грохотом :D
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Товарищ майор , 27-Апр-23 15:06 
>> Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз -
>> тот ещё геморрой.
> Тем более, пока не поздно нужно падать с грохотом. Лучше никак, чем
> кое-как.

Так в том и дело, что грохота много, а понятного объяснения косяка в конфигах - мало. И вместо того, чтобы запуститься и ругнуться на конкретный косяк в конфиге, бареос тупо не стартует. И хорошо, если ты просто ошибся в написании имени переменной - он на него ругнётся, может быть. А если лишнюю скобку поставил...

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:39 
Ага, а потом такие как ты орут как девочки, что СИСТЕМА РЕШАЕТ ЗА МИНЯ
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 07:51 
А к Солнцу претензии есть? Ну, оно типа само за 7 млрд человек решило: тут свечу, тут не буду. А к Земле, что она вертится?
Впрочем, кажется я начал понимать откуда есть пошли плоскоземельщики.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 12:38 
> А не запускаться, пока значение не изменили, никак?

это не выгодно, ибо взлом подорожает.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 07:47 
Два чая этому господину.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Антифрактал , 26-Апр-23 09:36 
Кто-то удивляется еще такому?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено пох. , 26-Апр-23 09:51 
Да, я вот в полном ах...е. Кто эти целых 37% что зачем-то полезли менять ключи и как у них теперь прод работает, который наверняка копипастил эти ключи со стеоверфлова?

P.S. _нах.я_ нужен _публичный_ сервер неведомой е-нины - кто-то конечно же не может объяснить?

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено User , 27-Апр-23 07:59 
Ну, был у меня дивный bad trip с АСУТП'шниками, отказывавшимися менять дефолтный пароль "changeme" на что либо другое по причине того, что оный пароль зафиксирован в согласованной эксплуатационной документации - а поменять подготовленную иностранным вендором бумагу - оооо! Никак не можно.
Теперь вот вижу унутре пайплайна java truststore с зашитым паролем changeit и понимаю, что от те, первые - были good trip на самом-то деле, у них причины были, а эти - просто долба*бы.
А, да - что характерно и 1, и 2 - не какие-нибудь рога-с-копытами, а прям крупный нефтехим.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено пох. , 27-Апр-23 22:56 
Кстати, циска, которую это все подза...ло как и дефолтный пароль "cisco" от всего на свете - решила таки проблему радикально. В дешевых коробках теперь дефолтный пароль работает ровно один раз. Если его не поменяв сделать logoff - строчка автоматически самовыпиливается из конфига и второй раз войти уже не получится.
(сделали как обычно, рабочекрестьянски, поэтому теперь в паролях нельзя использовать восклицательный знак. Но хоть так уже...)

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 09:40 
Это же Apache. Там на самом деле и разработчиков то никаких нет.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:11 
Вот к слову скрин из заглавной страницы проекта:
https://superset.apache.org/img/explore.jpg
0.0000006 это видимо каждый болт в самолете просчитывают.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 26-Апр-23 10:31 
Да нет, это просто float.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено pashev.ru , 26-Апр-23 09:49 
А всего-то надо генерировать случайный ключ, если он не указан явно. Вот как тут http://git.pashev.ru/sproxy2/about/
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 16:51 
Локалхостов, когда ж ты угомонишься уже свой локалхост рекламировать? Вот уж воистину, СЕОшник хуже 3.14раса.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Пряник , 26-Апр-23 09:58 
Вряд ли эти сервера production. Скорее всего урезаны по правам и сетевому доступу. Особенно, если крупная компания. А админов попросили побыстрому поднять новую(тм) модную(тм) технологию для изучения.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:14 
Ага это как те монги которые шли из коробки с дефолтным паролем(без пароля). Там хотя бы сказали какой объем данных в тех базах хранился, а тут даже этого нет.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено 1 , 26-Апр-23 11:38 
Ну как бы монги монгами, деляпсы и проч.
Но сколько установок Oracle где бородатые DBA не удосужились сменить пароль CHANGE_ON_INSTALL ?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Tron is Whistling , 26-Апр-23 12:37 
Бородатые DBA - это в смысле небритые студенты на полставки?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено ivan_erohin , 29-Апр-23 10:35 
> Но сколько установок Oracle где бородатые DBA не удосужились сменить пароль CHANGE_ON_INSTALL
> ?

в смысле ?
вроде всегда был scott/tiger

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено чатжпт , 26-Апр-23 10:30 
нет ничего более постоянного чем временное решение на коленке
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено ip1982 , 26-Апр-23 14:34 
Стадия торга :)
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Catwoolfii , 26-Апр-23 10:25 
Наберут кузьмичей по объявлению, потом удивляются...
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:56 
Ну ты-то сам, понятное дело, Михалыч, и пришёл по блату, а не по объявлению. Откуда только уверенность, что у тебя ошибок не найдут?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Catwoolfii , 26-Апр-23 11:43 
Ключ доступа в настройках, взятый из общедоступного примера - это не ошибка, это профнепригодность.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 14:02 
Но как же так на собесе он рассказал ответы на все каверзные вопросы и даже знал команду echo {1..10} она же сама главная во всей работе. А уж как рассказывал про дата маппер, так просто заслушаться.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 10:30 
>учитывается только ключ, указанный в примере конфигурации актуальной версии, старые типовые ключи и ключи из шаблонов и документации не блокируются

Что мешало заблокировать все? Отсутствие типа `set` в Python? Ил отсутствие мозгов? Вообще по-хорошему ключ в таком случае должен генериться автоматом.

"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 14:04 
Что тебе мешало сделать коммит?
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Брат Анон , 27-Апр-23 07:57 
Автоматом даже джейсон не парсится.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 12:17 
Отлично! А я и не знал про него.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено Аноним , 26-Апр-23 21:37 
ну теперь-то знаешь.
и в следующий раз уже не сможешь сказать, что не знал.
получается, даже для тебя, минуту назад "не знавшего про него" ничего, наступили необратимые последствия...
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено ИмяХ , 27-Апр-23 08:14 
И здесь теперь заставляют ставить кодовый замок на дверь туалета.
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено 1 , 27-Апр-23 10:02 
зато с кодом 1234 по умолчанию
"67% публичных серверов Apache Superset используют ключ досту..."
Отправлено пох. , 28-Апр-23 16:54 
вообще-то 1234567890
- поэтому ты все равно успеваешь обоср...ся пока открываешь дурацкий замок.