Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Airflow, допускающая использование одного сеанса на  разных серверах"	+/–
Сообщение от opennews (ok), 22-Дек-20, 11:33
Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость  позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg  временного ключа, одинакового  для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54298
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от хацкер (ok), 22-Дек-20, 11:33	–1 +/–
уязвимости — это хорошо, банальные — ещё лучше; без работы не останемся ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

2. Сообщение от ИмяХ (?), 22-Дек-20, 11:38	–9 +/–
Опять сишные дыры. На расте такой уязвимости бы не было.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Дедушка Анонимуса (?), 22-Дек-20, 11:40	+5 +/–
Ни Раст, ни Си в новости не упоминается, а у сишника всё равно бомбит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #5

4. Сообщение от Аноним (4), 22-Дек-20, 11:49	+/–
Тут у растоманов бомбит однако.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 22-Дек-20, 11:52	+1 +/–
Вы таки что-то перепутали. Сишники сидят и пишут код, а у растовиков ничего не работает, поэтому они приходят сюда бомбить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

6. Сообщение от Анан (?), 22-Дек-20, 11:58	+/–
вот только большинство новостей про ошибки почемуто на си а на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от rioko (?), 22-Дек-20, 12:06	+6 +/–
Как мыможем здесь видеть - большинство ошибок по русскому языку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от Аноним (8), 22-Дек-20, 12:12	+1 +/–
Такие проблемы всегда были и будут. Разрабы никогда их не решат, потому что автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным. Поэтому ВСЕГДА после установки любого софта имеет смысл пробежаться по настройкам и конфигам и проставить всё в нужное значение.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #23

9. Сообщение от InuYasha (??), 22-Дек-20, 12:14	+/–
Ошибка, исправляемая одной строчкой в конфиге. Но комментаторам ЯП не сидится )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от Аноним (10), 22-Дек-20, 13:35	–2 +/–
Это пиар системд, мол, с /etc/machine-id такого бы не было. Всем срочно встроить dbus в свои продукты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от xi (??), 22-Дек-20, 13:48	+2 +/–
Генерируется элементарно: ----- if grep -q "^SECRET_KEY = 'invalid'" $CONFIG_PATH; then                                                                                         sed -ri "s#(SECRET_KEY = ').+#\1$(openssl rand -base64 48)'#" $CONFIG_PATH                                                               fi ----- типичный код, взятый из скрипта инициализации в своих проектах. Как можно меньше ожиданий от пользователя, потому что человеческий фактор будет всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

13. Сообщение от Anonymou (?), 22-Дек-20, 15:42	+1 +/–
Grep && sed... Зачем ещё ифы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15, #17, #24, #27

15. Сообщение от Седоним (?), 22-Дек-20, 17:27	+1 +/–
один sed, зачем grep?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #26

16. Сообщение от Дохтар (?), 22-Дек-20, 17:40	–1 +/–
Болезни — это хорошо, банальные — ещё лучше; без работы не останемся ;) Уязвимости в головах, подобной вашей и тем кто ставит подобной ахинее лайки, также неплохо кормят психологов. Рекомендую воспользоваться помощью квалифицированного специалиста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18

17. Сообщение от Аноним (17), 22-Дек-20, 18:18	+2 +/–
Для читаемости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от хацкер (ok), 22-Дек-20, 18:56	+/–
ох, как у вас подгорело, сударь -- люди смотрят на вашу обитель и звонят 01 (не 03, к слову)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

19. Сообщение от Дохтар (?), 22-Дек-20, 22:17	–1 +/–
Упражняешся в генерации ахинеи? "Подгорания" уже пошли и прочее подростковое. Первая засветка была вполне убедительной, нет смысла демонстрировать многократно одно и тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22

22. Сообщение от Эни О Ним (?), 23-Дек-20, 10:27	+1 +/–
+1 Топик стартер мог быть более развит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

23. Сообщение от Эни О Ним (?), 23-Дек-20, 10:31	+1 +/–
> Разрабы никогда их не решат > автогенерить ключ на лету в момент установки намного тяжелее чем просто взять шаблонный конфиг с захардкоженным Эта проблема лечится элементарно. В школе или родители. Называется лень и бескултурье. В ИТ этого хлама по самые ноздри. Увы и ах. И дело всего-то только немного напрягаться в малом. Ну, обыкновенное: в жизни нужно мучаться. Фокус в том, что мучаться немного, посильно, не уничтожая себя, а развивая. Так что - есть решение проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29

24. Сообщение от Эни О Ним (?), 23-Дек-20, 10:34	+2 +/–
> Grep && sed... > Зачем ещё ифы? Т.к. иначе плохо работает в отладочном режиме для шелл скриптов. Написание с if меньше удивляет, но надёжнее работает, переносимо из кода в код легче.  А остроумие в глопом смысле с && - лишнее упражнение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

25. Сообщение от Дохтар (?), 23-Дек-20, 11:39	–1 +/–
Жертвы посткапитализма не способны на это. Поэтому и выдают подобные ментальные выделения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28

26. Сообщение от xi (??), 23-Дек-20, 11:41	+/–
"sed -i ...", даже ничего не сделавший, затрагивает время модификации файла - это фигня, если скрипт запускается один раз. но из-за скрипта, выполняющегося при запуске контейнера, это будет привлекать внимание к тому, что файл конфигурации будто бы кем-то изменён, хотя это не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от xi (??), 23-Дек-20, 11:51	+/–
многие проекты пишутся не для себя, и отдавать лучше в читаемом виде ("$()" - это известная подстановка, если что). кроме того, если в оболочке ставится флаг "-e", то "&&" может заметно усложнить понимание потока выполнения даже для себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Поциэнтэ (?), 23-Дек-20, 11:56	+/–
Дохтар, памаги
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от rico (ok), 23-Дек-20, 14:13	+/–
И это, как ни странно, DevOps. Когда грамотные админы приходят к разрабам и учат как делать правильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30

30. Сообщение от Аноним (30), 23-Дек-20, 22:27	+/–
Обычно происходит наоборот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема