Apache Airflow, 3.1.6’dan önceki sürümlerde iki ayrı kimlik bilgilerinin açığa çıkması güvenlik açığını giderdi.
Bu kusurlar, saldırganların proxy yapılandırmalarına ve şablonlu iş akışı alanlarına gömülü hassas kimlik doğrulama verilerini günlük dosyaları ve web kullanıcı arayüzü aracılığıyla elde etmesine olanak tanıyarak ağ altyapısından ve hassas veri hatlarından ödün verme potansiyeline sahip olabilir.
İlk güvenlik açığı Apache Airflow’un 3.1.6’dan önceki sürümlerini etkiliyor ve Bağlantı nesnelerindeki proxy URL’lerinin hatalı işlenmesinden kaynaklanıyor.
| Bakış açısı | CVE-2025-68675 | CVE-2025-68438 |
| Etkilenen Sürümler | Apache Hava Akışı < 3.1.6 | Apache Hava Akışı 3.1.0–3.1.6 |
| Şiddet | Düşük | Düşük |
| Açığa Çıkan Veriler | Proxy kimlik bilgileri | API anahtarları, belirteçler, sırlar |
| Bileşen | Bağlantı proxy alanları | İşlenen Şablonlar Kullanıcı Arayüzü |
| Sabit Sürüm | 3.1.6 | 3.1.6 |
Proxy yapılandırmaları genellikle http://kullanıcı adı biçiminde katıştırılmış kimlik doğrulama bilgilerini içerir:[email protected]:8080.
Bu alanlar hassas olarak tanımlanmamıştı; bu, bağlantılar oluşturulduğunda veya görüntülendiğinde proxy kimlik bilgilerinin açık metin olarak günlüğe kaydedildiği anlamına geliyordu.
Airflow’un günlük kaydı altyapısında, kullanıcılar bağlantı ayrıntılarını görüntülediğinde, boru hattı sorunlarını giderdiğinde veya denetim günlüklerine eriştiğinde, proxy kimlik bilgileri günlük erişimi olan herkes tarafından görülebilir hale gelir.
Bu, özellikle birden fazla ekibin Airflow örneklerine eriştiği paylaşımlı ortamlarda tehlikelidir; çünkü rakipler veya içerdeki hoşnutsuz kişiler bu kimlik bilgilerini alıp ağ trafiğini engellemek veya proxy altyapısı üzerinden geçiş yapmak için kullanabilirler.
İkinci güvenlik açığı Airflow 3.1.0’dan 3.1.6’ya kadar olan sürümleri etkiliyor ve Oluşturulan Şablonlar Kullanıcı Arayüzünde gizli dizilerin uygunsuz şekilde maskelenmesini içeriyor.
Ancak serileştirme işlemi, kullanıcı tarafından kaydedilen mask_secret() modellerini tanımayan bir sır maskeleyici örneği kullandı ve bu da hassas değerlerin kesilmeden önce maskesiz görünmesine yol açtı.
Bu kusur, web kullanıcı arayüzü erişimi olan saldırganların, oluşturulan şablonlardaki API anahtarları, veritabanı kimlik bilgileri ve belirteçler gibi hassas verileri görüntülemesine olanak tanır.
Kesilme, serileştirmeden önce değil de serileştirmeden sonra meydana geldiğinden, maskeleme katmanı başarısız olur ve sırlar, kesik kısmın içine girmedikçe bütünüyle açığa çıkar.
Her iki güvenlik açığı da günlük dosyalarına doğrudan erişim veya Airflow web arayüzünde kimlik doğrulaması gerektiriyor; bu da önem derecelerini belirliyor.
Ancak bulut ortamlarında günlükler genellikle bir araya getirilir ve ekipler arasında erişilebilir hale gelir ve web arayüzü erişimine geniş çapta izin verilebilir.
Apache, 3.1.6 sürümünde her iki sorunu da düzeltti. Bu kusurlar kimlik doğrulama sırlarını doğrudan tehlikeye attığından kuruluşların acilen yükseltmeye öncelik vermesi gerekir.
Ayrıca yöneticiler, kimlik bilgilerinin yanlışlıkla açığa çıkmasını önlemek için günlük saklama politikalarını gözden geçirmeli ve merkezi günlük sistemlerinde gizli düzeltme kuralları uygulamalıdır.
Geçici bir önlem olarak kuruluşlar, Airflow günlüklerine ve web kullanıcı arayüzüne erişimi kısıtlayabilir, IP izin verilenler listesine ekleme uygulayabilir ve açığa çıkmış olabilecek tüm kimlik bilgilerini döndürebilir.
Güvenlik ekipleri, şüpheli kimlik doğrulama girişimleri veya yetkisiz proxy erişimine karşı son günlükleri denetlemelidir.
Güvenlik açıkları, sırasıyla Ankit Chaurasia ve Amogh Desai tarafından geliştirilen iyileştirmelerle lwlkr ve William Ashe tarafından keşfedildi.
Veri hattı düzenlemesi için Airflow’a güvenen kullanıcılar, bu yükseltmeyi iş akışı altyapısını ve aşağı akış sistemlerini korumak için kritik olarak değerlendirmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.