One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8373772 |
| Date de publication | 2023-08-23 16:15:09 (vue: 2023-08-23 19:06:53) |
| Titre | CVE-2023-40273 |
| Texte | La vulnérabilité de fixation de session a permis à l'utilisateur authentifié de continuer à accéder au serveur Web de flux d'air même après que le mot de passe de l'utilisateur a été réinitialisé par l'administrateur jusqu'à l'expiration de la session de l'utilisateur.Outre le nettoyage manuellement de la base de données de session (pour la base de données & acirc; & nbsp; backend de session), ou modifier le Secure_key et redémarrer le serveur Web, il n'y avait pas de mécanismes pour forcer le logout de l'utilisateur (et tous les autres utilisateurs avec cela).
Avec ce correctif implémenté, lors de l'utilisation du backend & acirc; & nbsp; Database & acirc; & nbsp; Session Backend, les sessions existantes de l'utilisateur sont invalidées lorsque le mot de passe de l'utilisateur est réinitialisé.Lorsque vous utilisez le backend SecureCookie & Acirc; & nbsp; Session, les sessions ne sont pas invalidées et nécessitent toujours de modifier la clé sécurisée et de redémarrer le serveur Web (et de se connecter tous les autres utilisateurs), mais l'utilisateur réinitialisant le mot de passe est informé à ce sujet avec un message flash avertissementaffiché dans l'interface utilisateur.La documentation est également mise à jour en expliquant ce comportement.
Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.0 ou plus récents pour atténuer le risque associé à cette vulnérabilité.
The session fixation vulnerability allowed the authenticated user to continue accessing Airflow webserver even after the password of the user has been reset by the admin - up until the expiry of the session of the user. Other than manually cleaning the session database (for database session backend), or changing the secure_key and restarting the webserver, there were no mechanisms to force-logout the user (and all other users with that). With this fix implemented, when using the database session backend, the existing sessions of the user are invalidated when the password of the user is reset. When using the securecookie session backend, the sessions are NOT invalidated and still require changing the secure key and restarting the webserver (and logging out all other users), but the user resetting the password is informed about it with a flash message warning displayed in the UI. Documentation is also updated explaining this behaviour. Users of Apache Airflow are advised to upgrade to version 2.7.0 or newer to mitigate the risk associated with this vulnerability. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 40273 about accessing admin advised after airflow all allowed also apache are associated authenticated backend been behaviour but changing cleaning continue cve database databaseâ session displayed documentation even existing expiry explaining fix fixation flash force has implemented informed invalidated key logging logout manually mechanisms message mitigate newer not other out password require reset resetting restarting risk secure securecookieâ session session sessions than theâ databaseâ session until updated upgrade user users using version vulnerability warning webserver when |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.