Apache Airflow错误会话漏洞风险通告（ CVE-2020-17526）

　　12月21日，Apache官方邮件通告了Apache Airflow错误会话漏洞(CVE-2020-17526)

　　漏洞描述：

　　在具有默认配置的Apache Airflow Web服务器版中(版本号 < 1.10.14)，不正确的会话验证会允许站点A上的airflow用户正常登录，从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。

　　Apache Airflow是一个开源工作流管理平台。

　　漏洞编号： CVE-2020-17526

　　漏洞等级:高风险

　　受影响的版本：

　　Apache Airflow Web < 1.10.14

　　安全版本：

　　Apache Airflow Web >= 1.10.14

　　漏洞缓解：

　　更改“ [webserver] secret_key”配置的默认值。

　　注：升级时建议备份数据，避免发生意外。

　　参考链接：

　　https://nvd.nist.gov/vuln/detail/CVE-2020-35626

　　https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E