【漏洞公告】
近日,Apache官方发布安全更新,修复了多个Apache Airflow相关漏洞。其中Apache Airflow Hive Provider Beeline远程命令执行漏洞(CVE-2023-28706)风险较高,目前官方发布安全更新,建议受影响的用户尽快采取安全措施。
相关链接:
https://lists.apache.org/thread/dl20xxd51xvlx0zzc0wzgxfjwgtbbxo3
https://lists.apache.org/thread/dfoj7q1nd0vhhsl8fjg63z4j6mfmdxtk
https://lists.apache.org/thread/lb9w9114ow00h2nkn8bjm106v5x1p1d2
【影响范围】
Apache Airflow Hive Provider Beeline远程命令执行漏洞(CVE-2023-28706):
漏洞影响版本:
Apache Airflow Hive Provider version < 6.0.0
安全版本:
Apache Airflow Hive Provider version >=6.0.0
Apache Airflow Drill Provider Arbitrary任意文件读取漏洞(CVE-2023-28707):
漏洞影响版本:
Apache Airflow Hive Provider version < 2.3.2
安全版本:
Apache Airflow Hive Provider version >=2.3.2
Apache Airflow Spark Provider Arbitrary任意文件读取(CVE-2023-28710):
漏洞影响版本:
Apache Airflow Spark Provider version < 4.0.1
安全版本:
Apache Airflow Spark Provider version >= 4.0.1
【漏洞描述】
Apache Airflow Hive Provider Beeline远程命令执行(CVE-2023-28706):ApacheSoftwareFoundation Apache Airflow配置单元提供程序中的代码生成控制不当(“代码注入”)漏洞。此问题影响Apache Airflow Hive Provider:6.0.0之前。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
Apache Airflow Drill Provider Arbitrary任意文件读取(CVE-2023-28707):Apache SoftwareFoundation Apache Airflow Drill Provider中存在不正确的输入验证漏洞。此问题影响ApacheAirflow Drill Provider:2.3.2之前的版本。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
Apache Airflow Spark Provider Arbitrary任意文件读取(CVE-2023-28710):Apache SoftwareFoundation Apache Airflow Spark Provider中存在不正确的输入验证漏洞。此问题影响ApacheAirflow Spark Provider:4.0.1之前的版本。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
【缓解措施】
高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。
处置措施:
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载地址:https://airflow.apache.org/