一个影响 Apache DolphinScheduler 默认权限系统的严重安全漏洞已被识别并修补,促使 Apache 软件基金会提出紧急更新建议。
该漏洞源于流行的工作流调度平台中过于宽松的默认配置,允许未经授权的用户在没有适当身份验证控制的情况下执行任意工作流并访问敏感的系统资源。
该缺陷是通过平台的初始化过程出现的,其中默认管理权限无意中授予了新创建的用户帐户。
这种架构疏忽为试图破坏数据处理管道并在企业环境中执行未经授权的代码的恶意行为者创造了重要的攻击媒介。
利用 DolphinScheduler 进行关键工作流程自动化的组织会立即面临数据泄露和系统泄露的风险。
初步报告表明,该漏洞已经在有限的情况下被利用,攻击者利用权限绕过将恶意工作流程注入生产环境。
Apache 分析师在例行安全审计过程中发现了该漏洞,发现默认用户角色分配机制未能正确限制管理功能。
利用机制和代码分析
该漏洞利用了用户身份验证模块中的一个缺陷,其中默认权限是通过以下有问题的代码模式分配的:
public void createDefaultUser() {
User defaultUser = new User();
defaultUser.setUserType(UserType.ADMIN_USER);
defaultUser.setPermissions(Permission.ALL);
userMapper.insert(defaultUser);
}此初始化例程会自动分配管理权限,而无需验证用户凭据或实施适当的访问控制。
攻击者可以通过在系统初始化阶段创建新帐户来利用这一点,有效地不受限制地访问工作流管理功能和底层系统资源。
Apache 开发团队发布了 3.2.1 版,具有增强的权限验证和默认安全配置,解决了这一严重安全漏洞的根本原因。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
