Apache Airflow 默认DAG命令注入漏洞分析(CVE-2020-11978)<\/h1>

漏洞概述<\/h2>
Apache Airflow 是一个使用Python编写的开源工作流管理平台，通过有向无环图(DAG)来管理任务流程。在默认配置下，Airflow Web UI存在未授权访问风险，结合默认示例DAG中的命令注入漏洞，攻击者可实现远程代码执行。<\/p>

漏洞环境搭建<\/h2>

快速搭建测试环境<\/h3>

# 启动容器<\/span>
<\/span><\/span>docker run --rm --entrypoint ''<\/span> -v \/tmp\/airflow\/:\/root\/airflow --name airflow -it apache\/airflow:master-ci \/bin\/bash
<\/span><\/span>
<\/span><\/span># 进入容器进行初始化配置<\/span>
<\/span><\/span>airflow db init
<\/span><\/span>nohup airflow webserver &
<\/span><\/span>nohup airflow scheduler &
<\/span><\/span><\/code><\/pre>数据库配置（可选）<\/h3>
默认使用Sqlite，如需使用MySQL：<\/p>

修改配置文件：<\/li>
<\/ol>
vi \/root\/airflow\/airflow.cfg
<\/span><\/span><\/code><\/pre>修改内容：<\/p>
sql_alchemy_conn = mysql+mysqldb:\/\/root:password@mysqlip:3306\/airflow
<\/code><\/pre>

创建数据库（注意字符集）：<\/li>
<\/ol>
CREATE<\/span> DATABASE<\/span> airflow CHARACTER SET<\/span> UTF8mb3 COLLATE<\/span> utf8_general_ci
<\/span><\/span><\/code><\/pre>漏洞分析<\/h2>
漏洞原理<\/h3>
漏洞存在于两个默认示例DAG的组合利用：<\/p>

example_trigger_controller_dag.py<\/strong> - 控制器DAG<\/li>
example_trigger_target_dag.py<\/strong> - 目标DAG<\/li>
<\/ol>
目标DAG中包含一个BashOperator，其命令通过Jinja模板动态构建：<\/p>
bash_command=<\/span>'echo "Here is the message: <\/span>\'<\/span>{{ dag_run.conf["message"] if dag_run else "" }}<\/span>\'<\/span>"'<\/span>
<\/span><\/span><\/code><\/pre>正常情况下，控制器DAG会传递固定的conf参数：<\/p>
conf=<\/span>{"message"<\/span>: "Hello World"<\/span>}
<\/span><\/span><\/code><\/pre>但Airflow提供了多种方式修改dag_run.conf，包括：<\/p>

命令行触发：<\/li>
<\/ol>
airflow dags trigger --conf '{"conf1": "value1"}'<\/span> example_parametrized_dag
<\/span><\/span><\/code><\/pre>
Web UI直接触发并传递参数<\/li>
<\/ol>
漏洞利用步骤<\/h3>

访问Airflow Web UI（默认未授权）<\/li>
启用目标DAG（example_trigger_target_dag）<\/li>
通过Web UI触发该DAG，并在配置中注入恶意命令：<\/li>
<\/ol>
{"message"<\/span>: "'; your_command_here; #"<\/span>}
<\/span><\/span><\/code><\/pre>修复方案<\/h2>

升级版本<\/strong>：升级到Airflow 1.10.11或更高版本<\/li>
禁用示例DAG<\/strong>：在配置文件中设置：<\/li>
<\/ol>
load_examples<\/span> =<\/span> False<\/span>
<\/span><\/span><\/code><\/pre>
访问控制<\/strong>：配置适当的认证和授权机制<\/li>
<\/ol>
时间线<\/h2>

2020-05-31：漏洞发现并上报<\/li>
2020-06-01：Apache Airflow安全团队确认<\/li>
2020-07-10：发布修复版本Airflow 1.10.11<\/li>
2020-07-14：分配CVE-2020-11978<\/li>
<\/ul>
安全建议<\/h2>

生产环境中应始终禁用示例DAG<\/li>
实施严格的访问控制策略<\/li>
定期更新Airflow到最新版本<\/li>
最小化Airflow实例的网络暴露面<\/li>
<\/ol>

Apache Airflow 默认DAG命令注入漏洞分析(CVE-2020-11978)<\/h1>

漏洞环境搭建<\/h2>

漏洞分析<\/h2>

安全建议<\/h2> 生产环境中应始终禁用示例DAG<\/li> 实施严格的访问控制策略<\/li> 定期更新Airflow到最新版本<\/li> 最小化Airflow实例的网络暴露面<\/li> <\/ol>

安全建议<\/h2>

生产环境中应始终禁用示例DAG<\/li>
实施严格的访问控制策略<\/li>
定期更新Airflow到最新版本<\/li>
最小化Airflow实例的网络暴露面<\/li> <\/ol>