據(jù)研究人員稱，發(fā)現(xiàn)舊版本的ApacheAirflow暴露了流行服務(wù)的憑據(jù)，包括云托管提供商、社交媒體平臺和支付處理服務(wù)。ApacheAirflow是GitHub上星級最高的開源工作流應(yīng)用程序，用于自動化業(yè)務(wù)和IT任務(wù)。

Intezer的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，舊版本中的錯誤配置不僅會泄露數(shù)據(jù)，而且可能會在暴露的生產(chǎn)環(huán)境中啟用惡意代碼執(zhí)行。

我們正在研究我們的讀者如何將VPN與Netflix等流媒體網(wǎng)站結(jié)合使用，以便我們改進內(nèi)容并提供更好的建議。此調(diào)查不會占用您超過60秒的時間，如果您能與我們分享您的經(jīng)驗，我們將不勝感激。

“這次泄漏非常嚴(yán)重。與影響個人用戶帳戶的更傳統(tǒng)的憑據(jù)泄漏不同，這些憑據(jù)泄漏會影響整個應(yīng)用程序框架實例，”事件響應(yīng)公司BreachQuestInc.的聯(lián)合創(chuàng)始人兼首席技術(shù)官JakeWilliams告訴SiliconANGLE。

研究人員在解釋曝光時指出，Airflow使用標(biāo)準(zhǔn)Python來創(chuàng)建和安排工作流程。自2015年以來，該項目已經(jīng)發(fā)布了兩個主要版本，但隨后又有幾個臨時版本提高了平臺的安全性。

為了說明舊版本的謬誤，研究人員指出v1.10之前的Airflow版本允許用戶在沒有任何身份驗證的情況下對數(shù)據(jù)庫運行即席查詢，這對于暴露于互聯(lián)網(wǎng)的生產(chǎn)數(shù)據(jù)庫來說是一種危險的能力.

通過關(guān)注較舊的、不安全的版本，研究人員發(fā)現(xiàn)配置錯誤的實例也會暴露憑據(jù)，使威脅行為者可以訪問AWS、GoogleCloud、WhatsApp、Slack、MySQL、Binance、PayPal、Stripe和其他平臺上的合法帳戶和數(shù)據(jù)庫。多很多。

在一個奇怪的發(fā)現(xiàn)中，研究人員透露，除了錯誤配置之外，許多憑據(jù)還通過不安全的編碼實踐暴露出來，例如生產(chǎn)代碼中的硬編碼密碼。

Intezer已通知所有受影響的實體，敦促他們修復(fù)錯誤配置的Airflow實例，即使它要求ApacheAirflow用戶確保他們立即將舊實例更新到最新實例。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險自擔(dān)。 如有侵權(quán)請聯(lián)系刪除！