Apache Airflow FTP Provider<3.7.0 证书验证不当风险 (CVE-2024-29733)

漏洞类型 证书验证不恰当 发现时间 2024-04-22 漏洞等级 低危
MPS编号 MPS-qvto-mpga CVE编号 CVE-2024-29733 漏洞影响广度

漏洞危害

OSCS 描述
Apache Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能,FTP Provider 组件用于Airflow与FTP服务器进行交互。
Apache Airflow FTP Provider 3.7.0之前版本中,由于 ftp#FTPSHook 方法在创建 FTP_TLS 连接时未进行证书校验,攻击者可利用该漏洞进行中间人攻击,窃取系统敏感信息。3.7.0版本在FTP_TLS实例化过程中,通过传递 context=ssl.create_default_context() 进行证书验证修复此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-qvto-mpga

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow-providers-ftp [1.0.0, 3.7.0) 升级 升级apache-airflow-providers-ftp到 3.7.0 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-qvto-mpga

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qvto-mpga

https://nvd.nist.gov/vuln/detail/CVE-2024-29733

https://github.com/apache/airflow/commit/7f9e5f7a1cf79125da6a159400df258594085689

https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2

(0)
上一篇 2024年4月17日
下一篇 2024年4月22日

相关推荐

  • Laravel框架limit和offset处存在SQL注入 (MPS-19wf-rmek)

    漏洞类型 SQL注入 发现时间 2024-05-16 漏洞等级 严重 MPS编号 MPS-19wf-rmek CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 Laravel是Laravel社区的一个Web 应用程序框架。 同时使用SQL Server数据库和Laravel框架,并且Web应用允许用户输入参数直接传递参数到limit和off…

    漏洞 2024年5月16日
    0
  • SOFARPC< 5.12.0 反序列化漏洞 (CVE-2024-23636)

    漏洞类型 反序列化 发现时间 2024-01-24 漏洞等级 严重 MPS编号 MPS-rm4h-is76 CVE编号 CVE-2024-23636 漏洞影响广度 小 漏洞危害 OSCS 描述 SOFARPC 是一个高性能、高扩展性、生产级 Java RPC 框架。 SOFARPC 默认使用 SOFA Hessian 协议来反序列化接收到的数据,而 SOFA…

    2024年1月25日
    0
  • Apache Derby LDAP 注入漏洞 (CVE-2022-46337)

    漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞等级 中危 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUI…

    2023年11月21日
    0
  • Apache Airflow信息泄漏漏洞 (CVE-2023-45348)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-14 漏洞等级 高危 MPS编号 MPS-ovuh-jial CVE编号 CVE-2023-45348 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。”expose_co…

    2023年10月16日
    0
  • Google Chrome Navigation模块存在UAF漏洞 (CVE-2023-6112)

    漏洞类型 UAF 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-2wq5-6am8 CVE编号 CVE-2023-6112 漏洞影响广度 一般 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器,Navigation模块是其中负责处理网络通信、响应数据处理和渲染的重要模块。 由于MaybeSta…

    2023年11月16日
    0