Apache Superset

Продукт
Название базовой системы (платформы): Apache
Дата последнего релиза: 2023/09/07
Технологии: BI

Содержание

Apache Superset - open source BI-платформа.

2023: Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet

Компания Apache выпустила обновления, закрывающие две уязвимости в аналитической платформе SuperSet. Эксплуатация этих уязвимостей (CVE-2023-39265 и CVE-2023-37941) позволяет злоумышленнику получить удалённый доступ и контроль над системой. Об этом стало известно 7 сентября 2023 года.

Обновление до версии 2.1.1 также исправляет отдельную проблему с некорректными правами доступа к REST API (CVE-2023-36388), которая давала возможность пользователям с низкими привилегиями проводить атаки типа SSRF.

По словам экспертов безопасности из компании Horizon3, платформа SuperSet изначально разработана так, чтобы предоставлять привилегированным пользователям доступ к произвольным базам данных и возможность выполнять SQL-запросы. Если же злоумышленнику удастся подключиться к метаданным самого SuperSet, он сможет получить доступ к конфигурации и учётным данным, а также выполнить произвольный код.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Уязвимость CVE-2023-39265 связана с обходом проверки URI при подключении к базе метаданных SQLite, что и позволяет выполнять произвольные операции с данными. Также с этой уязвимостью связывают отсутствие проверки при импорте информации о подключении к SQLite из файла, что может быть использовано злоумышленниками для импорта вредоносных файлов.

CVE-2023-37941 позволяет внедрить произвольную полезную нагрузку в хранилище метаданных и выполнить её удалённо. Эта уязвимость связана с использованием библиотеки «pickle» для сериализации данных. Злоумышленник, получивший доступ к записи в базу метаданных, может внедрить вредоносный код, который будет десериализован и выполнен на сервере.

Среди других исправленных в последней версии SuperSet недостатков:

  • уязвимость для чтения произвольных файлов MySQL, которая может быть использована для получения учётных данных из базы;
  • злоупотребление командой «load_examples» для получения URI базы метаданных из пользовательского интерфейса и изменения хранящихся в ней данных;
  • использование учётных данных по умолчанию для доступа к базе данных метаданных в некоторых конфигурациях SuperSet;
  • утечка учётных данных в виде открытого текста при запросе API «/api/v1/database» от имени привилегированного пользователя.

Эксперты рекомендуют генерировать «SECRET_KEY» для каждой конфигурации SuperSet, а не использовать значения по умолчанию. Это позволит избежать компрометации системы злоумышленниками.

По данным Horizon3, более 2000 из примерно 4000 открытых серверов SuperSet по-прежнему используют ключи по умолчанию. Около 70 систем имеют угадываемые ключи вроде «superset» или «123456».

Специалисты считают, что корень многих проблем кроется в том, что веб-интерфейс SuperSet изначально разрешает подключаться к базе метаданных. Это открывает возможности для атак, позволяя манипулировать конфигурацией и данными.

Разработчики обещают в дальнейшем ограничить доступ к метаданным и реализовать автоматическую генерацию ключей. Пользователям настоятельно рекомендуется установить последние обновления и проверить настройки безопасности системы.

Уязвимости в Open Source решениях, таких как SuperSet, могут создавать серьёзные риски для безопасности организаций. Эксперты призывают следить за выходом обновлений и своевременно их устанавливать. Также важно грамотно настраивать систему и не использовать учётные данные и ключи по умолчанию [1].

2021: Особенности Apache Superset

Среди особенностей Apache Superset на июнь 2021 года:

  • Открытая масштабируемая архитектура
  • Связка BI-платформы и платформы управления данными
  • Несколько СУБД для решения различных задач
  • Отсутствие лицензионных платежей
  • Возможность доработки

Примечания

  1. [https://www.securitylab.ru/news/541587.php Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet Подробнее: https://www.securitylab.ru/news/541587.php]


ПРОЕКТЫ (1) ПРОЕКТЫ НА БАЗЕ (1) ИНТЕГРАТОРЫ (1)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (20)

ЗаказчикИнтеграторГодПроект
- ВкусВилл
ТехАудит2021.06Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прогноз (250)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (125)
  RBC Group Украина (124)
  БизнесАвтоматика НПЦ (119)
  Консультационная группа АТК (100)
  Другие (2537)

  Сапиенс солюшнс (Sapiens solutions) (9)
  Форсайт (8)
  Navicon (Навикон) (7)
  Корус Консалтинг (6)
  Доверенная среда (5)
  Другие (101)

  БизнесАвтоматика НПЦ (12)
  Форсайт (8)
  ФТО (5)
  Manzana Group (М Софт) (4)
  Optimacros (Оптимакрос) (3)
  Другие (74)

  Manzana Group (М Софт) (5)
  БизнесАвтоматика НПЦ (5)
  Analytic Workspace (ОСТ) (4)
  Arenadata (Аренадата Софтвер) (4)
  Simetra (ранее А+С Транспроект) (4)
  Другие (67)

  Simetra (ранее А+С Транспроект) (12)
  Форсайт (9)
  БизнесАвтоматика НПЦ (7)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (5)
  Arenadata (Аренадата Софтвер) (4)
  Другие (56)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Qlik (QlikTech) (59, 464)
  Форсайт (19, 340)
  SAP SE (70, 303)
  Oracle (65, 267)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (4, 236)
  Другие (1116, 1644)

  SAP SE (6, 13)
  Форсайт (2, 8)
  Qlik (QlikTech) (2, 8)
  Microsoft (2, 6)
  Триафлай (1, 5)
  Другие (50, 78)

  БизнесАвтоматика НПЦ (1, 12)
  Форсайт (3, 8)
  Optimacros (Оптимакрос) (1, 6)
  Microsoft (1, 5)
  Manzana Group (М Софт) (3, 4)
  Другие (40, 50)

  Optimacros (Оптимакрос) (1, 10)
  Форсайт (2, 8)
  Analytic Workspace (ОСТ) (2, 5)
  Manzana Group (М Софт) (2, 5)
  PIX Robotics (Пикс Роботикс) (1, 5)
  Другие (38, 59)

  Simetra (ранее А+С Транспроект) (1, 11)
  Форсайт (2, 9)
  VMware (2, 7)
  БизнесАвтоматика НПЦ (1, 7)
  SL Soft (СЛ Софт) (5, 6)
  Другие (33, 60)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  QlikView - 370
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 321
  Deductor - 226
  Visary BI Платформа бизнес-аналитики - 119
  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103
  Другие 2009

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 7
  Qlik Sense - 6
  Триафлай BI-платформа - 5
  Microsoft Power BI - 5
  Другие 85

  Visary BI Платформа бизнес-аналитики - 12
  Optimacros Платформа для оптимизационного и консолидационного планирования - 6
  Microsoft Power BI - 5
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 5
  Qlik Sense - 4
  Другие 51

  Optimacros Платформа для оптимизационного и консолидационного планирования - 10
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 7
  PIX BI - 5
  Visary BI Платформа бизнес-аналитики - 5
  Manzana Customer Data Platform (CDP) - 5
  Другие 53

  RITM3 - Real time integration transport measurements modelling managemet - 11
  Visary BI Платформа бизнес-аналитики - 7
  Optimacros Платформа для оптимизационного и консолидационного планирования - 6
  Инфомаксимум: Proceset (Система класса Process mining) - 6
  ADB - Arenadata DB - 6
  Другие 47