1.产品描述:
Apache Airflow是一个开源的平台,用于开发、调度和监控面向批处理的工作流。Airflow的可扩展的Python框架使你能够建立与几乎任何技术连接的工作流程。一个网络接口有助于管理你的工作流程的状态。Airflow可以以多种方式部署,从你的笔记本电脑上的单一进程到分布式设置,甚至支持最大的工作流程。
2.影响产品或组件及版本:
Apache Airflow Hive Provider < 4.1.0
3.受影响资产情况:
通过资产测绘系统fofa发现,全球共9482个使用记录,其中第一名美国6012个,第二名爱尔兰1134个,第三名新加坡380个
4.技术细节表述:
Apache Airflow Hive Provider 中操作系统命令(“操作系统命令注入”)漏洞中使用的特殊元素的不当中和,Apache Airflow 允许攻击者在任务执行上下文中执行任意命令,而无需对 DAG 文件进行写访问。
5.修补措施:
厂商已发布了漏洞修复程序,安全版本:Apache Airflow Hive Provider >= 4.1.0
Pip在线升级Apache Airflow Providers Apache Hive:pip install –upgrade apache-airflow-providers-apache-hive
pip离线升级(需已安装wheel 库,安装命令:pip install wheel):
官方下载地址:https://www.apache.org/dyn/closer.lua/airflow/providers/apache_airflow_providers_apache_hive-4.1.0-py3-none-any.whl
若访问较慢可转到斗象漏洞情报中心搭建的镜像站进行下载:http://124.70.137.26:8080/Apache/Apache%20Airflow/Apache%20Airflow%20Hive%20Provider%20%e5%91%bd%e4%bb%a4%e6%b3%a8%e5%85%a5(CVE-2022-41131)/
6.漏洞来源:
https://vip.riskivy.com/detail/1594888655405715456
注:该漏洞已有CVE漏洞编号,暂无CNNVD漏洞编号
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论