中危 Apache Airflow 存在Kubernetes配置文件泄露风险(CVE-2023-51702)

CVE编号

CVE-2023-51702

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-01-24
漏洞描述
Apache Airflow 是一个开源的工作流自动化平台,Apache Airflow CNCF Kubernetes provider 是给 Airflow 提供Kubernetes支持的工具包。
Apache Airflow CNCF Kubernetes provider 5.2.0及之后版本中,当使用 Kubernetes 配置文件路径的可延迟模式进行身份验证时,Airflow worker 会将该配置文件序列化为字典并将其存储在元数据中,在不进行任何加密的情况下将其发送给触发器。同时,如果 Apache Airflow CNCF Kubernetes provider 与2.3.0至2.6.0之间的Airflow版本一起使用,配置字典将以纯文本的形式记录在触发器服务中,而不进行任何掩码处理,使得有权限访问元数据或触发器日志的用户可获取Kubernetes配置文件信息,并访问Kubernetes集群。
Apache Airflow CNCF Kubernetes provider 7.0.0版本停止了文件内容的序列化,而是通过提供文件路径以将内容读入触发器修复此漏洞。
解决建议
"将组件 apache-airflow-providers-cncf-kubernetes 升级至 7.0.0 及以上版本"
"将组件 apache-airflow 升级至 2.6.1 及以上版本"
参考链接
http://www.openwall.com/lists/oss-security/2024/01/24/3
https://github.com/apache/airflow/pull/29498
https://github.com/apache/airflow/pull/30110
https://github.com/apache/airflow/pull/36492
https://lists.apache.org/thread/89x3q6lz5pykrkr1fkr04k4rfn9pvnv9
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache airflow * From
(including)
2.3.0 		Up to
(excluding)
2.6.1
运行在以下环境
应用 apache airflow_cncf_kubernetes * From
(including)
5.2.0 		Up to
(excluding)
7.0.0
阿里云评分
6.1
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-312 敏感数据的明文存储
CWE-532 通过日志文件的信息暴露
阿里云安全产品覆盖情况