Apache Airflow 3.0.3’te kritik bir güvenlik kusuru ortaya çıktı ve hassas bağlantı bilgilerini yalnızca okuma izinleriyle kullanıcılara maruz bıraktı.
CVE-2025-54831 olarak izlenen ve “önemli” ciddiyet olarak sınıflandırılan güvenlik açığı, platformun iş akışı bağlantılarında hassas verileri işlemek için amaçlanan güvenlik modelini temel olarak zayıflatır.
Apache Airflow sürüm 3.0, bağlantılardaki hassas bilgilerin nasıl yönetildiği konusunda önemli değişiklikler getirdi ve bu da sadece bağlantı düzenleme kullanıcılarına hassas bağlantı alanlarına erişimi kısıtlamak için tasarlanmış bir “Salt yazma” modeli uyguladı.
Bu güvenlik geliştirmesi, kritik kimlik doğrulama ayrıntılarına, veritabanı kimlik bilgilerine ve hava akışı bağlantılarında depolanan API anahtarlarına yetkisiz erişimi önlemeyi amaçlamıştır.
Ancak, 3.0.3 sürümündeki uygulama, bu güvenlik iyileştirmelerini tersine çeviren kritik bir kusur içeriyordu.
Güvenlik açığı, standart okuma izinleri olan kullanıcıların hem Airflow API’sı hem de Web kullanıcı arayüzü aracılığıyla hassas bağlantı bilgilerine erişmelerini sağlar.
Bu pozlama, AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS Yetkisiz kullanıcıların hassas bağlantı ayrıntılarını maskelemek için özel olarak tasarlanmış yapılandırma ayarı.
İhlal, güvenlik yapılandırmasını etkili bir şekilde etkisiz hale getirerek Airflow’un erişim kontrollerine güvenen kuruluşlar için önemli bir risk oluşturur.
Apache güvenlik analistleri, bağlantı işleme mekanizmalarında beklenmedik davranışı gözlemledikten sonra güvenlik açığını belirledi.
Kusur özellikle Apache Airflow sürüm 3.0.3’ü etkilerken, daha önceki Airflow 2.x sürümleri, bağlantı editörlerine hassas bilgileri açığa çıkarmanın belgelenmiş davranış olduğu farklı bağlantı işleme protokollerini takip ettikleri için etkilenmez.
Bağlantı Erişim Kontrol Mekanizması
Güvenlik açığı, Airflow 3.0’da tanıtılan bağlantı erişim kontrol sisteminin yanlış uygulanmasından kaynaklanmaktadır.
Okuma İzinleri olan kullanıcılar bağlantı ayrıntılarını sorguladığında /api/v1/connections/{connection_id} Bağlantı arabirimine Web kullanıcı arayüzü aracılığıyla uç nokta veya erişin, sistem gizli kalması gereken şifreler, jetonlar ve bağlantı dizeleri dahil olmak üzere hassas alanları yanlış döndürür.
{
"connection_id": "postgres_default",
"conn_type": "postgres",
"host": "localhost",
"login": "airflow",
"password": "exposed_sensitive_data",
"schema": "airflow",
"port": 5432
}Apache Airflow 3.0.3 kullanan kuruluşlar, bu güvenlik açığını gidermek ve hassas bağlantı bilgileri için uygun erişim kontrollerini geri yüklemek için hemen 3.0.4 sürümüne veya üstüne yükseltilmelidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
