Apache Superset

Продукт
Название базовой системы (платформы): Apache
Дата последнего релиза: 2023/09/07
Технологии: BI

Содержание

Apache Superset - open source BI-платформа.

2023: Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet

Компания Apache выпустила обновления, закрывающие две уязвимости в аналитической платформе SuperSet. Эксплуатация этих уязвимостей (CVE-2023-39265 и CVE-2023-37941) позволяет злоумышленнику получить удалённый доступ и контроль над системой. Об этом стало известно 7 сентября 2023 года.

Обновление до версии 2.1.1 также исправляет отдельную проблему с некорректными правами доступа к REST API (CVE-2023-36388), которая давала возможность пользователям с низкими привилегиями проводить атаки типа SSRF.

По словам экспертов безопасности из компании Horizon3, платформа SuperSet изначально разработана так, чтобы предоставлять привилегированным пользователям доступ к произвольным базам данных и возможность выполнять SQL-запросы. Если же злоумышленнику удастся подключиться к метаданным самого SuperSet, он сможет получить доступ к конфигурации и учётным данным, а также выполнить произвольный код.

Уязвимость CVE-2023-39265 связана с обходом проверки URI при подключении к базе метаданных SQLite, что и позволяет выполнять произвольные операции с данными. Также с этой уязвимостью связывают отсутствие проверки при импорте информации о подключении к SQLite из файла, что может быть использовано злоумышленниками для импорта вредоносных файлов.

CVE-2023-37941 позволяет внедрить произвольную полезную нагрузку в хранилище метаданных и выполнить её удалённо. Эта уязвимость связана с использованием библиотеки «pickle» для сериализации данных. Злоумышленник, получивший доступ к записи в базу метаданных, может внедрить вредоносный код, который будет десериализован и выполнен на сервере.

Среди других исправленных в последней версии SuperSet недостатков:

  • уязвимость для чтения произвольных файлов MySQL, которая может быть использована для получения учётных данных из базы;
  • злоупотребление командой «load_examples» для получения URI базы метаданных из пользовательского интерфейса и изменения хранящихся в ней данных;
  • использование учётных данных по умолчанию для доступа к базе данных метаданных в некоторых конфигурациях SuperSet;
  • утечка учётных данных в виде открытого текста при запросе API «/api/v1/database» от имени привилегированного пользователя.

Эксперты рекомендуют генерировать «SECRET_KEY» для каждой конфигурации SuperSet, а не использовать значения по умолчанию. Это позволит избежать компрометации системы злоумышленниками.

По данным Horizon3, более 2000 из примерно 4000 открытых серверов SuperSet по-прежнему используют ключи по умолчанию. Около 70 систем имеют угадываемые ключи вроде «superset» или «123456».

Специалисты считают, что корень многих проблем кроется в том, что веб-интерфейс SuperSet изначально разрешает подключаться к базе метаданных. Это открывает возможности для атак, позволяя манипулировать конфигурацией и данными.

Разработчики обещают в дальнейшем ограничить доступ к метаданным и реализовать автоматическую генерацию ключей. Пользователям настоятельно рекомендуется установить последние обновления и проверить настройки безопасности системы.

Уязвимости в Open Source решениях, таких как SuperSet, могут создавать серьёзные риски для безопасности организаций. Эксперты призывают следить за выходом обновлений и своевременно их устанавливать. Также важно грамотно настраивать систему и не использовать учётные данные и ключи по умолчанию [1].

2021: Особенности Apache Superset

Среди особенностей Apache Superset на июнь 2021 года:

  • Открытая масштабируемая архитектура
  • Связка BI-платформы и платформы управления данными
  • Несколько СУБД для решения различных задач
  • Отсутствие лицензионных платежей
  • Возможность доработки

Примечания

  1. [https://www.securitylab.ru/news/541587.php Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet Подробнее: https://www.securitylab.ru/news/541587.php]


ПРОЕКТЫ (1) ПРОЕКТЫ НА БАЗЕ (1) ИНТЕГРАТОРЫ (1)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (20)

ЗаказчикИнтеграторГодПроект
- ВкусВилл
ТехАудит2021.06Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прогноз (250)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (125)
  RBC Group Украина (124)
  БизнесАвтоматика НПЦ (117)
  Консультационная группа АТК (100)
  Другие (2515)

  Сапиенс солюшнс (Sapiens solutions) (9)
  Форсайт (8)
  Navicon (Навикон) (7)
  Корус Консалтинг (6)
  Доверенная среда (5)
  Другие (101)

  БизнесАвтоматика НПЦ (13)
  Форсайт (8)
  ФТО (5)
  Manzana Group (М Софт) (4)
  Optimacros (Оптимакрос) (3)
  Другие (74)

  БизнесАвтоматика НПЦ (7)
  Manzana Group (М Софт) (5)
  Инфомаксимум (Infomaximum) (5)
  OptiTeam Consulting, Оптитим Консалтинг (ранее MCB Consulting, ЭмСиБи Консалтинг) (4)
  Форсайт (4)
  Другие (66)

  Simetra (ранее А+С Транспроект) (9)
  Arenadata (Аренадата Софтвер) (4)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (4)
  БизнесАвтоматика НПЦ (2)
  Manzana Group (М Софт) (2)
  Другие (44)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Qlik (QlikTech) (59, 464)
  Форсайт (19, 332)
  SAP SE (70, 302)
  Oracle (65, 267)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (4, 236)
  Другие (1111, 1628)

  SAP SE (6, 13)
  Qlik (QlikTech) (2, 8)
  Форсайт (2, 8)
  Microsoft (2, 6)
  Доверенная среда (1, 5)
  Другие (50, 78)

  БизнесАвтоматика НПЦ (1, 13)
  Форсайт (3, 8)
  Optimacros (Оптимакрос) (1, 6)
  Microsoft (1, 5)
  Manzana Group (М Софт) (3, 4)
  Другие (40, 50)

  Optimacros (Оптимакрос) (1, 10)
  Форсайт (2, 8)
  БизнесАвтоматика НПЦ (1, 7)
  Manzana Group (М Софт) (2, 5)
  Analytic Workspace (ОСТ) (2, 5)
  Другие (37, 59)

  Simetra (ранее А+С Транспроект) (1, 9)
  SL Soft (СЛ Софт) (5, 6)
  Полиматика (Polymatica) (5, 6)
  VMware (2, 6)
  Optimacros (Оптимакрос) (1, 6)
  Другие (27, 43)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  QlikView - 411 (370, 41)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 333 (318, 15)
  Deductor - 226 (226, 0)
  IBM Cognos - 162 (58, 104)
  Visary BI Платформа бизнес-аналитики - 117 (117, 0)
  Другие 1279

  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (7, 1)
  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8 (8, 0)
  QlikView.Next - 6 (0, 6)
  Microsoft Power BI - 5 (5, 0)
  Доверенная среда: Триафлай BI-платформа - 5 (5, 0)
  Другие 64

  Visary BI Платформа бизнес-аналитики - 13 (13, 0)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (5, 3)
  Optimacros Платформа для оптимизационного и консолидационного планирования - 6 (6, 0)
  Microsoft Power BI - 5 (5, 0)
  QlikView.Next - 4 (0, 4)
  Другие 35

  Optimacros Платформа для оптимизационного и консолидационного планирования - 10 (10, 0)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (7, 1)
  Visary BI Платформа бизнес-аналитики - 7 (7, 0)
  Инфомаксимум: Proceset (Система класса Process mining) - 5 (5, 0)
  PIX BI - 5 (5, 0)
  Другие 38

  TransInfo - 9 (0, 9)
  VMware Tanzu Greenplum - 6 (1, 5)
  Optimacros Платформа для оптимизационного и консолидационного планирования - 6 (6, 0)
  Polymatica Analytics Аналитическая платформа - 5 (2, 3)
  PIX BI - 4 (4, 0)
  Другие 13