یک آسیبپذیری با شناسه CVE-2023-48796 و شدت بالا درApache شناسایی شناسایی شده است که امکان افشای اطلاعات حساس را برای مهاجم فراهم میآورد. این آسیبپذیری که در Apache DolphinScheduler کشف شد، منجر به آن خواهد شد که اطلاعات حساس در اختیار کسانی قرار گیرد که مجاز به دسترسی به آن اطلاعات نیستند و از این طریق محرمانگی دادهها را تحت تأثیر خود قرار میدهد. اطلاعاتی که در معرض دسترس عوامل غیرمجاز قرار میگیرد شامل دادههای حساسی مانند اعتبارنامههای پایگاهداده است.
محصولات تحت تأثیر
این آسیبپذیری نسخه 3.0.0 قبل از نسخه 3.0.2 محصول Apache شامل Apache DolphinScheduler را تحت تأثیر خود قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Apache DolphinScheduler به نسخه 3.0.2 اقدام نمایند. کاربرانی که نمیتوانند به نسخه 3.0.2 ارتقا دهند، میتوانند متغیر محیطی `MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=health,metrics,prometheus` را برای حل این مشکل تنظیم کنند. یا بخش زیر را به فایل«application.yaml» اضافه کنند:
```
management:
endpoints:
web:
exposure:
include: health,metrics,prometheus
```
منبع خبر:
https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo
- 113