BDU:2024-03447: Уязвимость сетевого программного средства Airflow FTP Provider, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость сетевого программного средства Airflow FTP Provider связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Apache Software Foundation
Наименование ПО Apache Airflow FTP Provider
Версия ПО до 3.7.0
Тип ПО Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки CWE-295
Класс уязвимости Уязвимость архитектуры
Дата выявления 18.03.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:N/C:P/I:P/A:P
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/apache/airflow/pull/38266/commits/7f9e5f7a1cf79125da6a159400df258594085689
https://github.com/apache/airflow/blob/95e26118b828c364755f3a8c96870f3591b01c31/airflow/providers/ftp/hooks/ftp.py#L280
https://airflow.apache.org/docs/apache-airflow-providers-ftp/3.7.0/index.html
https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2

Компенсирующие меры:
Для корректной проверки сертификата по умолчанию используйте конфигурацию:
context=ssl.create_default_context()
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются