Apache Superset 服务器存在安全风险

关键要点

• 近2000个暴露在互联网的Apache Superset服务器面临认证绕过和远程代码执行攻击的风险。
• 主要原因是这些服务器使用默认的Flask Secret Key进行会话cookie签名。
• 风险主要存在于未更改默认密钥的服务器上，而已更改密钥的服务器则相对安全。
• Apache安全团队在2021年10月首次得知此漏洞，并在2022年1月发布了新的软件版本来替换默认密钥。
• 最近的错误配置提醒Horizon3于2月通知Apache，随后的新版本在本月发布，防止使用默认密钥的服务器启动。

近2000个暴露于互联网的ApacheSuperset服务器，这些服务器被政府机构、企业和大学等使用，正面临认证绕过和 的风险。这一问题的根源在于这些服务器仍使用默认的Flask SecretKey进行身份验证会话cookie的签名。根据的报道，这种不安全的配置使得攻击者能够利用该密钥伪造会话cookie，从而在未更改密钥的服务器上获得管理员权限，而使用非默认密钥的服务器则不受影响。Horizon3的报告指出：“我们目前不打算透露任何利用方法，但我们认为，对于有兴趣的攻击者来说，想要找出的方法将会相对简单。”

Apache的安全团队最早于2021年10月获悉此漏洞，2022年1月发布了新版本软件以替换默认密钥。然而，由于持续存在错误配置，Horizon3在2月份通知了Apache，Apache随后在本月发布了一版新软件，以阻止使用默认密钥的服务器启动。

重要提示 ：确保及时更新服务器中的Flask Secret Key，并配置适当的安全措施，以防范潜在的网络攻击。