Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Airflow, допускающая использование одного сеанса на  разных серверах"	+/–
Сообщение от opennews (ok), 22-Дек-20, 11:33
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость  позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg  временного ключа, одинакового  для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54298
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в Apache Airflow, допускающая использование одног..."	–1 +/–
Сообщение от хацкер (ok), 22-Дек-20, 11:33
уязвимости — это хорошо, банальные — ещё лучше; без работы не останемся ;)
Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость в Apache Airflow, допускающая использование одног..."	–1 +/–
	Сообщение от Дохтар (?), 22-Дек-20, 17:40
	Болезни — это хорошо, банальные — ещё лучше; без работы не останемся ;) Уязвимости в головах, подобной вашей и тем кто ставит подобной ахинее лайки, также неплохо кормят психологов. Рекомендую воспользоваться помощью квалифицированного специалиста.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от хацкер (ok), 22-Дек-20, 18:56
	ох, как у вас подгорело, сударь -- люди смотрят на вашу обитель и звонят 01 (не 03, к слову)
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в Apache Airflow, допускающая использование одног..."	–1 +/–
	Сообщение от Дохтар (?), 22-Дек-20, 22:17
	Упражняешся в генерации ахинеи? "Подгорания" уже пошли и прочее подростковое. Первая засветка была вполне убедительной, нет смысла демонстрировать многократно одно и тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в Apache Airflow, допускающая использование одног..."	+1 +/–
	Сообщение от Эни О Ним (?), 23-Дек-20, 10:27
	+1 Топик стартер мог быть более развит.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в Apache Airflow, допускающая использование одног..."	–1 +/–
	Сообщение от Дохтар (?), 23-Дек-20, 11:39
	Жертвы посткапитализма не способны на это. Поэтому и выдают подобные ментальные выделения.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от Поциэнтэ (?), 23-Дек-20, 11:56
	Дохтар, памаги
	Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором	–9 +/–
Сообщение от ИмяХ (?), 22-Дек-20, 11:38
Опять сишные дыры. На расте такой уязвимости бы не было.
Ответить | Правка | Наверх | Cообщить модератору

	3. Скрыто модератором	+5 +/–
	Сообщение от Дедушка Анонимуса (?), 22-Дек-20, 11:40
	Ни Раст, ни Си в новости не упоминается, а у сишника всё равно бомбит.
	Ответить | Правка | Наверх | Cообщить модератору

	4. Скрыто модератором	+/–
	Сообщение от Аноним (4), 22-Дек-20, 11:49
	Тут у растоманов бомбит однако.
	Ответить | Правка | Наверх | Cообщить модератору

	5. Скрыто модератором	+1 +/–
	Сообщение от Аноним (5), 22-Дек-20, 11:52
	Вы таки что-то перепутали. Сишники сидят и пишут код, а у растовиков ничего не работает, поэтому они приходят сюда бомбить.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	6. Скрыто модератором	+/–
	Сообщение от Анан (?), 22-Дек-20, 11:58
	вот только большинство новостей про ошибки почемуто на си а на расте
	Ответить | Правка | Наверх | Cообщить модератору

	7. Скрыто модератором	+6 +/–
	Сообщение от rioko (?), 22-Дек-20, 12:06
	Как мыможем здесь видеть - большинство ошибок по русскому языку.
	Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Apache Airflow, допускающая использование одног..."	+1 +/–
Сообщение от Аноним (8), 22-Дек-20, 12:12
Такие проблемы всегда были и будут. Разрабы никогда их не решат, потому что автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным. Поэтому ВСЕГДА после установки любого софта имеет смысл пробежаться по настройкам и конфигам и проставить всё в нужное значение.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в Apache Airflow, допускающая использование одног..."	+2 +/–
	Сообщение от xi (??), 22-Дек-20, 13:48
	Генерируется элементарно: ----- if grep -q "^SECRET_KEY = 'invalid'" $CONFIG_PATH; then                                                                                         sed -ri "s#(SECRET_KEY = ').+#\1$(openssl rand -base64 48)'#" $CONFIG_PATH                                                               fi ----- типичный код, взятый из скрипта инициализации в своих проектах. Как можно меньше ожиданий от пользователя, потому что человеческий фактор будет всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в Apache Airflow, допускающая использование одног..."	+1 +/–
	Сообщение от Anonymou (?), 22-Дек-20, 15:42
	Grep && sed... Зачем ещё ифы?
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Apache Airflow, допускающая использование одног..."	+1 +/–
	Сообщение от Седоним (?), 22-Дек-20, 17:27
	один sed, зачем grep?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от xi (??), 23-Дек-20, 11:41
	"sed -i ...", даже ничего не сделавший, затрагивает время модификации файла - это фигня, если скрипт запускается один раз. но из-за скрипта, выполняющегося при запуске контейнера, это будет привлекать внимание к тому, что файл конфигурации будто бы кем-то изменён, хотя это не так.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в Apache Airflow, допускающая использование одног..."	+2 +/–
	Сообщение от Аноним (17), 22-Дек-20, 18:18
	Для читаемости.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	24. "Уязвимость в Apache Airflow, допускающая использование одног..."	+2 +/–
	Сообщение от Эни О Ним (?), 23-Дек-20, 10:34
	> Grep && sed... > Зачем ещё ифы? Т.к. иначе плохо работает в отладочном режиме для шелл скриптов. Написание с if меньше удивляет, но надёжнее работает, переносимо из кода в код легче.  А остроумие в глопом смысле с && - лишнее упражнение.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	27. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от xi (??), 23-Дек-20, 11:51
	многие проекты пишутся не для себя, и отдавать лучше в читаемом виде ("$()" - это известная подстановка, если что). кроме того, если в оболочке ставится флаг "-e", то "&&" может заметно усложнить понимание потока выполнения даже для себя.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	23. "Уязвимость в Apache Airflow, допускающая использование одног..."	+1 +/–
	Сообщение от Эни О Ним (?), 23-Дек-20, 10:31
	> Разрабы никогда их не решат > автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным Эта проблема лечится элементарно. В школе или родители. Называется лень и бескултурье. В ИТ этого хлама по самые ноздри. Увы и ах. И дело всего-то только немного напрягаться в малом. Ну, обыкновенное: в жизни нужно мучаться. Фокус в том, что мучаться немного, посильно, не уничтожая себя, а развивая. Так что - есть решение проблемы.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	29. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от rico (ok), 23-Дек-20, 14:13
	И это, как ни странно, DevOps. Когда грамотные админы приходят к разрабам и учат как делать правильно.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
	Сообщение от Аноним (30), 23-Дек-20, 22:27
	Обычно происходит наоборот.
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Apache Airflow, допускающая использование одног..."	+/–
Сообщение от InuYasha (??), 22-Дек-20, 12:14
Ошибка, исправляемая одной строчкой в конфиге. Но комментаторам ЯП не сидится )
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в Apache Airflow, допускающая использование одног..."	–2 +/–
	Сообщение от Аноним (10), 22-Дек-20, 13:35
	Это пиар системд, мол, с /etc/machine-id такого бы не было. Всем срочно встроить dbus в свои продукты!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема