漏洞预警|Apache Airflow Hive Provider命令注入漏洞

最新推荐文章于 2024-03-25 17:29:51 发布
最新推荐文章于 2024-03-25 17:29:51 发布
阅读量764 收藏
点赞数
分类专栏: 漏洞预警 文章标签: apache hive hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/127988466
版权

棱镜七彩安全预警

近日网上有关于开源项目Apache Airflow Hive Provider命令注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。

项目主页

Apache Airflow

代码托管地址

GitHub - apache/airflow: Apache Airflow - A platform to programmatically author, schedule, and monitor workflows

CVE编号

CVE-2022-41131

漏洞情况

Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。

Apache Airflow Hive Provider 在 4.1.0 之前的版本中由于 hive.py 类中没有对 schema(数据库) 参数进行有效过滤,攻击者可在与 Airflow hook 建立 sql 连接时传入恶意的 schema 参数远程执行恶意代码。

受影响的版本

apache-airflow-providers-apache-hive@(-∞, 4.1.0)

修复方案

升级apache-airflow-providers-apache-hive到 4.1.0 或更高版本

链接地址:

NVD - CVE-2022-41131

Filter out invalid schemas in Hive hook by potiuk · Pull Request #27647 · apache/airflow · GitHub

Filter out invalid schemas in Hive hook by potiuk · Pull Request #27647 · apache/airflow · GitHub

 

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
airflow CVE-2020-11978 漏洞分析
示例和笔记
06-08 532
CVE-2020-11978漏洞的一个示例是发现在Apache Airflow的示例dag文件中存在命令注入漏洞。攻击者可以通过该漏洞Airflow服务器上执行恶意命令。具体来说,该漏洞源于示例dag文件中的一个BashOperator任务,它执行了一个echo命令并将输出写入文件。该任务通过 {{ ds }} 参数接收当前日期作为参数,并在命令行上执行。然而,该任务并没有对 ds 参数进行严格的验证和过滤,因此攻击者可以通过注入恶意命令来执行任意命令
CVE-2022-24288:Apache Airflow OS命令注入漏洞复现
热爱学习,喜欢折腾!
08-24 1892
Apache Airflow 2.2.4 之前的版本中,一些示例 DAG 没有正确清理用户提供的参数,使其容易受到来自 Web UI 的 OS 命令注入的影响。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。............
漏洞分析|Apache Airflow Pinot Provider 命令注入漏洞
LJQClqjc的博客
11-23 497
棱镜七彩漏洞深度分析
Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞
OSCS开源安全社区
12-22 448
Apache Airflow Hive Provider 在 5.0.0 之前的版本中由于对airflow/providers/apache/hive/hooks/hive.py文件中hive_cli_params参数不正确初始化,导致存在操作系统命令注入漏洞。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。将组件 apache-airflow-providers-apache-hive 升级至 5.0.0 及以上版本。
Apache Airflow Docker Provider远程代码执行漏洞
bocco的博客
08-17 368
安全狗应急响应中心监测到,Apache发布安全公告,修复了Apache Airflow Docker Provider中的一个远程代码执行漏洞漏洞编号:CVE-2022-38362。
PyPI 官网下载 | apache-airflow-providers-apache-hive-1.0.0b2.tar.gz
01-31
标题中的"PyPI 官网下载 | apache-airflow-providers-apache-hive-1.0.0b2.tar.gz"表明这是一个从Python Package Index (PyPI)官方源下载的软件包,具体是Apache Airflow的一个提供者包,用于与Apache Hive进行集成...
Python库 | apache-airflow-providers-apache-spark-2.1.3.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:apache-airflow-providers-apache-spark-2.1.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
PyPI 官网下载 | apache-airflow-providers-apache-spark-1.0.2.tar.gz
01-26
《PyPI上的Apache Airflow Providers for Apache Spark 1.0.2详解》 Apache Airflow是一款强大的工作流管理系统,用于创建、调度和监控复杂的任务执行流程。它支持各种操作,如数据处理、ETL(提取、转换、加载)...
Python库 | apache-airflow-1.10.1.tar.gz
02-28
6. **Integration能力**: Apache Airflow支持与各种外部服务和系统的集成,包括大数据工具(如Hadoop、Spark、Hive)、数据库(如MySQL、PostgreSQL)、云服务(如AWS、Google Cloud、Azure)以及容器化技术(如...
漏洞复现——Apache Airflow 示例dag中的命令注入(CVE-2020-11978)
m0_65149086的博客
05-26 436
懵逼日常
(CVE-2020-11978)Airflow dag中的命令注入漏洞复现【vulhub靶场】
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-18 3296
Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。基于vulhub靶场的CVE-2020-11978漏洞复现airflow dag中的命令注入RCE和反弹shell教学。漏洞复现。......
Apache Airflow Hive Provider 任意Hive命令执行漏洞
murphysec的博客
03-01 456
Apache Airflow 是一个以编程方式管理 workflow 的平台,Airflow Hive Provider 是一个使用 SQL 进行读取、写入和管理分布式存储中的大型数据集的工具包,_prepare_cli_cmd 方法用于创建 Hive 连接命令列表。 由于 Airflow Hive Provider 5.1.3 之前版本中的 hive#_prepare_cli_cmd 方法未对用户传入的数据库连接参数(conn)有效过滤,攻击者可以恶意构造 Hive 连接参数传递到 jdbc_url 中
漏洞深度分析|Apache Airflow example_bash_operator DAG 远程代码执行漏洞
LJQClqjc的博客
11-17 579
棱镜七彩漏洞分析
Airflow dag中的命令注入漏洞(CVE-2020-11978)
m0_49025459的博客
10-31 183
进入CVE-2020-11978目录下,依次使用接下来的命令启动靶场访问漏洞地址:http://ip:8080 即可。
Apache Airflow 命令注入 (CVE-2020-11978)漏洞复现
weixin_56537388的博客
11-08 167
Apache Airflow 是一个开源的分布式任务调度框架。在 1.10.10 之前的版本中,示例 DAG 中存在一个命令注入漏洞,该漏洞导致攻击者在工作进程中执行任意命令
Apache Airflow Provider Sqoop 模块远程代码执行漏洞
murphysec的博客
03-01 360
Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传输大量数据。 apache-airflow-providers-apache-sqoop 3.1.1 之前版本中,由于 SqoopHook 类创建 sqoop 连接时未对用户配置的 jar 文件进行过滤,有权修改 sqoop 连接配置(lib_jars 字段)的攻击者可上传恶意 jar 文件远程执行恶意代码。
Apache Airflow 错误的会话验证漏洞 (CVE-2020-17526)利用
weixin_40418457的博客
06-22 1034
0x01 漏洞描述 Apache 官方在2020年12月21日发布的邮件中披露Apache Airflow 存在一个由于错误处理会话验证导致的未授权访问漏洞。如果用户使用了默认的秘钥配置,攻击者就可以在其他的一个配置了默认秘钥的站点进行登录,接着以登录后的session信息直接未授权访问受害者站点。 引用:https://mp.weixin.qq.com/s/EN4bsZl1ylpAtpIlISK3nQ 0x02 漏洞利用 FOFA指纹: title=="Airflow - Login&q
AWS修复 Airflow 服务中严重的 “FlowFixation” 漏洞
最新发布
smellycat000的专栏
03-25 86
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员发布了位于AWS 的Apache Airflow 的工作流管理 (MWAA) 中的一个已修复漏洞详情,它可导致恶意人员劫持受害者会话并在底层实例上实现远程代码执行后果。该漏洞被 Tenable 公司命名为 “FlowFixation”。该公司的高级安全研究员 Liv Matan 在技术分析文章中提到,“接管受害者账户后,攻击者本可执...
Apache Airflow入门与实战:工作流管理系统深度解析
- **Operators**:操作符是 Airflow 中的原子任务,如 BashOperator(执行 shell 命令)、HiveOperator(调用 Hive 查询)或 PythonOperator(执行自定义 Python 函数)。 - **Scheduling**:Airflow 使用 Cron 式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值