通知公告

关于Apache Airflow Drill Provider输入验证不当漏洞的预警通报
发布日期:2023-09-27 16:51 浏览量:

Airflow Drill Provider中存在不正确的输入验证漏洞,漏洞编号:CVE-2023-39553,漏洞风险等级:高危。

该漏洞允许攻击者在与DrillHook建立连接时传入恶意参数,从而读取Airflow服务器上的文件,获取敏感信息。

Airflow是一个使用python语言编写的data pipeline调度和监控工作流的平台,通过DAG(Directed acyclic graph有向无环图)来管理任务流程的任务调度工具,不需要知道业务数据的具体内容,设置任务的依赖关系即可实现任务调度。

(一)漏洞影响范围:

Apache Airflow Drill Provider < 2.4.3

(二)漏洞修复建议:

一是加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;

二是通过WAF监测外网对Jackrabbit webapp/standalone中RMI特殊接口API路径的访问;

三是建议用户留意官方公告,及时升级到最新版本:https://airflow.apache.org。