Apache Dolphinscheduler Güvenlik Açığı Yamalı – Hemen Güncelleme


En son sürümde Apache Dolphinscheduler’de düşük şiddetli bir güvenlik sorunu ele alındı.

CVE-2024-43166 olarak tanımlanan ve CWE-276 altında sınıflandırılan: yanlış varsayılan izinler, bu güvenlik açığı 3.2.2’den önce tüm Dolphinscheduler sürümlerini etkiler. Kullanıcıların potansiyel riskleri azaltmak için en kısa sürede 3.3.1 sürümüne yükseltmeleri şiddetle tavsiye edilir.

Apache Dolphinscheduler, karmaşık veri iş akışlarını düzenlemek için tasarlanmış açık kaynaklı, dağıtılmış bir zamanlama sistemidir.

Genişletilebilirliği, arıza toleransı ve zengin izleme özellikleri için yaygın olarak benimsenmiştir. 3 Eylül 2025’te güvenlik araştırmacısı L0NE1Y, Dolphinscheduler’ın varsayılan dosyasının ve dizin izinlerinin 3.2.2’den önce sürümlerde aşırı izin verdiğini bildirdi.

Bu koşullar altında, yetkisiz kullanıcılar, bazı yapılandırmalarda, kısıtlanması gereken dosyalara veya dizinlere erişim sağlayabilir, potansiyel olarak hassas iş akışı tanımlarını, kimlik bilgilerini veya günlükleri ortaya çıkarabilir.

Paylaşılan veya çok kiracılı ortamlarda-kurumsal veri platformlarında ortak olan-bu kötü amaçlı bir aktör veya müstehcensiz kullanıcının yapılandırma dosyalarını veya diğer kullanıcılara ait günlükleri okumasına izin verebilir.

Sorun derhal CVE-2024-43166 tanımlayıcısına atandı ve 3 Eylül 2025 Çarşamba günü Lidong Dai tarafından projenin güvenlik posta listesine açıklandı.

Etkilenen versiyonlar ve şiddet

  • Etkilenen: 3.2.2’den önce Apache Dolphinscheduler sürümleri
  • Şiddet: Düşük

Güvenlik açığının düşük şiddet derecesi, başarılı sömürünün yerel erişim veya mevcut Dolphinscheduler sunucusunun dosya sistemi ile etkileşim kurma yeteneğini gerektirdiğini yansıtır. Bu kusurun vahşi doğada sömürüldüğüne dair bir kanıt yoktur.

Güvenlik açığı doğrudan uzaktan kumanda yürütülmesine veya veri açığa çıkmasına izin vermese de, en az ayrıcalık ilkesine aykırıdır.

Dolphinscheduler Geliştirme Ekibi, 3.3.1 sürümünde yanlış varsayılan izinleri giderdi.

Bu güncelleme, yalnızca yetkili sistem kullanıcılarının ve Dolphinscheduler hizmet hesabının kritik dosyalara erişebilmesini sağlayarak dosya ve dizin oluşturma politikalarını sıkılaştırır. Özellikle:

  • İş Akışı Tanım Dosyaları Artık Varsayılan İzin Moduna 640 (Sahibi için okuyun/yazma, grup için okuyun).
  • Günlük dosyaları benimser 640 varsayılan olarak.
  • Yapılandırma dizinleri, 750 Hizmet hesabına ve yöneticilere erişimi kısıtlayan izinler.

Bu daha katı varsayılanlar, endüstrinin en iyi uygulamaları ve en az ayrıcalık ilkesi ile uyumlu olarak, üretim dağıtımlarındaki saldırı yüzeyini azaltır.

Nasıl Yükseltilir

Apache Dolphinscheduler kurulumunuzu güncellemek için:

  1. Yedekleme
    • Dolphinscheduler hizmetini durdurun.
    • Mevcut kurulum dizinini ve herhangi bir özel yapılandırma dosyasını yedekleyin.
  2. İndirmek
    • 3.3.1 ikili dosyalarını veya kaynak paketini alın.
  3. Düzenlemek
    • Eski ikili değiştirin veya yeni paketi çıkarın.
    • Doğrula conf/ Dizin özel ayarlarınızı korur.
    • Dosya sahipliğinin ve grup atamalarının doğru olduğundan emin olun: Bashchown -R dolphinscheduler:dolphinscheduler /opt/dolphinscheduler find /opt/dolphinscheduler -type f -exec chmod 640 {} \; find /opt/dolphinscheduler -type d -exec chmod 750 {} \;
  4. Yeniden başlatın ve doğrulayın
    • Dolphinscheduler hizmetini başlatın.
    • Başarılı girişimi onaylamak için günlükleri kontrol edin.
    • Kritik dosyalar ve dizinler üzerindeki izinlerin beklentilere uygun olduğunu doğrulayın.

Apache Dolphinscheduler Projesi, bu sorunu sorumlu bir şekilde ifşa ettiği için L0NE1Y’ye minnettarlığını genişletiyor. Bu rapor, sürekli güvenlik incelemelerinin ve açık kaynaklı yazılımlara topluluk katkılarının öneminin altını çizmektedir.

Şiddetle düşük olmasına rağmen, CVE-2024-43166 Varsayılan izinler güvenlik açığı, çok kiracılı veri sistemlerinde katı dosya erişim kontrollerinin gerekliliğini vurgular.

3.2.2’den önceki tüm Dolphinscheduler kullanıcıları, sağlam güvenlik temellerini sağlamak ve izin yönetimi için en iyi uygulamalara uymak için gecikmeden 3.3.1’e yükseltilmelidir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link