Apache Airflow ODBC Provider 远程代码执行漏洞（CVE-2023-34395）

漏洞类型	OS命令注入	发现时间	2023/6/27	漏洞等级	中危
MPS编号	MPS-9tea-y3fh	CVE编号	CVE-2023-34395	漏洞影响广度	广

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

2.2 Apache pony mail 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Apache Airflow 是一个开源的任务和工作流管理平台，ODBC Provider 是 Apache Airflow 的一个数据库管理/插件。Apache Airflow ODBC Provider 受影响版本中，由于 odbc.py#driver 方法未对用户可控的 ODBC 驱动程序参数(driver)有效过滤，攻击者可在实例化 Hook 对象时传入包含恶意 driver 的 extras 参数，通过 ODBC 驱动加载并执行系统中的任意动态链接库。
参考链接：https://www.oscs1024.com/hd/MPS-9tea-y3fh

Apache pony mail 描述

Apache Software Foundation Apache Airflow ODBC 提供程序中命令中参数定界符的不正确中和（“参数注入”）漏洞。在OdbcHook中，由于可控的ODBC驱动程序参数允许加载任意动态链接库，从而导致命令执行，系统中存在提权漏洞。从 4.0.0 版开始，驱动程序只能通过钩子构造函数进行设置。
此问题影响 Apache Airflow ODBC Provider：4.0.0 之前的版本。
参考链接：https://lists.apache.org/thread/l26yykftzbhc9tgcph8cso88bc2lqwwd

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
apache-airflow-providers-odbc@[1.0.0, 4.0.0)	更新	将 apache-airflow-providers-odbc 升级至 4.0.0 及以上版本
apache-airflow-providers-odbc@[1.0.0, 4.0.0)	补丁	官方已发布针对ODBC驱动程序参数进行过滤的补丁：https://github.com/apache/airflow/commit/517c498e17d3a449c9eab58830bcbf0b54b23991
参考链接：https://www.oscs1024.com/hd/MPS-9tea-y3fh

Apache pony mail 平台影响范围和处置方案

影响范围	处置方式	处置方法
Apache Airflow ODBC Provider before 4.0.0	暂无	暂无
参考链接：https://lists.apache.org/thread/l26yykftzbhc9tgcph8cso88bc2lqwwd