BDU:2024-03447: Уязвимость сетевого программного средства Airflow FTP Provider, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости

Уязвимость сетевого программного средства Airflow FTP Provider связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

Apache Airflow FTP Provider

Версия ПО

  • до 3.7.0

Тип ПО

Сетевое средство, Сетевое программное средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Неправильное подтверждение подлинности сертификата

Идентификатор типа ошибки

Класс уязвимости

Уязвимость архитектуры

Дата выявления

18.03.2024

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/apache/airflow/pull/38266/commits/7f9e5f7a1cf79125da6a159400df258594085689
https://github.com/apache/airflow/blob/95e26118b828c364755f3a8c96870f3591b01c31/airflow/providers/ftp/hooks/ftp.py#L280
https://airflow.apache.org/docs/apache-airflow-providers-ftp/3.7.0/index.html
https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2

Компенсирующие меры:
Для корректной проверки сертификата по умолчанию используйте конфигурацию:
context=ssl.create_default_context()

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения