注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  docker

【漏洞通告】Apache Airflow Docker Provider远程代码执行漏洞(CVE-2022-38362)

维他命安全 • 2 年前 • 683 次点击  

0x00 漏洞概述

CVE   ID

CVE-2022-38362

发现时间

2022-08-17

类    型

代码执行

等    级

高危

远程利用


影响范围


攻击复杂度


用户交互


PoC/EXP


在野利用



0x01 漏洞详情

Apache Airflow 是一个能够开发、调度和监控工作流的编排平台。
8月16日,Apache发布安全公告,修复了Apache Airflow Docker Provider中的一个远程代码执行漏洞(CVE-2022-38362)。
3.0.0之前的Apache Airflow Docker的 Provider提供了一个示例DAG(有向无环图),该示例DAG容易导致Airflow worker主机上经过身份验证的远程代码攻击。


影响范围
Apache-Airflow-Providers-Docker < 3.0.0


0x02 安全建议

目前此漏洞已经修复,受影响用户可升级Apache-Airflow-Providers-Docker到3.0.0或更高版本。
下载链接:
https://airflow.apache.org/docs/apache-airflow-providers-docker/stable/index.html
缓解措施:禁止加载示例DAG。


0x03 参考链接

https://lists.apache.org/thread/614p38nf4gbk8xhvnskj9b1sqo2dknkb
https://github.com/apache/airflow


0x04 版本信息

版本

日期

修改内容

V1.0

2022-08-17

首次发布


0x05 附录

公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工近4000人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。


关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/138870
Reply
 
683 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号