До версии Airflow 3.2.0 было неясно, что для безопасного развертывания Airflow требуется, чтобы менеджер развертывания предпринимал соответствующие действия и обращал внимание на детали безопасности и модель безопасности Airflow. Некоторые предположения, которые мог сделать менеджер развертывания, были недостаточно ясными или явными, хотя намерения Airflow и модель безопасности Airflow не предполагали иных предположений. Общая модель безопасности [1], изоляция рабочей нагрузки [2] и детали аутентификации JWT [3] теперь описаны более подробно.
Пользователям, которых интересует изоляция ролей и которые следуют модели безопасности Airflow Airflow, рекомендуется выполнить обновление до Airflow 3.2, в которой реализовано несколько улучшений безопасности. Им также следует прочитать и следовать соответствующим документам, чтобы убедиться, что их развертывание достаточно безопасно. В нем также поясняется, что менеджер развертывания несет полную ответственность за безопасность вашего развертывания Airflow.
Об этом также сообщалось в объявлении в блоге Airflow 3.2.0 [4].
[1] Модель безопасности: https://airflow.apache.org/docs/apache-airflow/stable/security/jwt_token_authentication.html.
[2] Изоляция рабочей нагрузки: https://airflow.apache.org/docs/apache-airflow/stable/security/workload.html.
[3] Аутентификация токена JWT: https://airflow.apache.org/docs/apache-airflow/stable/security/jwt_token_authentication.html.
[4] Анонс в блоге Airflow 3.2.0: https://airflow.apache.org/blog/airflow-3.2.0/
Пользователям рекомендуется выполнить обновление до версии 3.2.0, которая устраняет эту проблему.
Показать оригинальное описание (EN)
Before Airflow 3.2.0, it was unclear that secure Airflow deployments require the Deployment Manager to take appropriate actions and pay attention to security details and security model of Airflow. Some assumptions the Deployment Manager could make were not clear or explicit enough, even though Airflow's intentions and security model of Airflow did not suggest different assumptions. The overall security model [1], workload isolation [2], and JWT authentication details [3] are now described in more detail. Users concerned with role isolation and following the Airflow security model of Airflow are advised to upgrade to Airflow 3.2, where several security improvements have been implemented. They should also read and follow the relevant documents to make sure that their deployment is secure enough. It also clarifies that the Deployment Manager is ultimately responsible for securing your Airflow deployment. This had also been communicated via Airflow 3.2.0 Blog announcement [4]. [1] Security Model: https://airflow.apache.org/docs/apache-airflow/stable/security/jwt_token_authentication.html [2] Workload isolation: https://airflow.apache.org/docs/apache-airflow/stable/security/workload.html [3] JWT Token authentication: https://airflow.apache.org/docs/apache-airflow/stable/security/jwt_token_authentication.html [4] Airflow 3.2.0 Blog announcement: https://airflow.apache.org/blog/airflow-3.2.0/ Users are recommended to upgrade to version 3.2.0, which fixes this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Airflow
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
|
3.0.0
|
3.2.0
|