点击上方蓝字关注我们!
近日,嘉诚安全监测到Apache Airflow 发布安全公告,Apache Airflow ODBC Provider和Apache Airflow JDBC Provider存在远程代码执行漏洞,漏洞编号为:CVE-2023-34395、CVE-2023-22886。
Airflow广泛应用于数据工程、数据分析、机器学习和任务自动化等领域,可以管理复杂的数据处理流程和任务调度,并提供可视化的界面和监控功能,以方便用户管理和监控任务的执行情况。它提供了一种灵活、可编程的方式来定义和执行各种类型的工作流,并支持任务间的依赖关系和调度策略,使得数据处理和任务自动化变得更加高效和可靠。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
1.CVE-2023-34395
Apache Airflow ODBC Provider远程代码执行漏洞,经研判,该漏洞为高危漏洞。在 ODBC hook 中,由于可控制的 ODBC 驱动程序参数,系统存在一个权限提升漏洞,允许攻击者加载任意的动态链接库,导致命令执行。
2.CVE-2023-22886
Apache Airflow JDBC Provider远程代码执行漏洞,经研判,该漏洞为高危漏洞。Apache Airflow JDBC Provider程序没有对URL的访问做出限制,可能导致攻击者远程代码执行不同类型的JDBC驱动程序,获取Airflow服务器权限。
受影响版本:
<4.0.0版本
根据影响版本中的信息,建议相关用户尽快更新至安全版本,即4.0.0版本,下载链接请参考:
https://airflow.apache.org/docs/apache-airflow-providers-odbc/stable/index.html
https://airflow.apache.org/docs/apache-airflow-providers-jdbc/stable/index.html