Vulnerabilidad en Apache Airflow (CVE-2024-29735)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/03/2024
Última modificación:
07/05/2025
Descripción
Vulnerabilidad de conservación inadecuada de permisos en Apache Airflow. Este problema afecta a Apache Airflow desde la versión 2.8.2 hasta la 2.8.3. El controlador de tareas de archivos locales de Airflow en Airflow configuró incorrectamente permisos para todas las carpetas principales de la carpeta de registro, en la configuración predeterminada agrega acceso de escritura al grupo de carpetas de Unix. En el caso de que Airflow se ejecute con el usuario root (no recomendado), agregó permiso de escritura grupal a todas las carpetas hasta la raíz del sistema de archivos. Si sus archivos de registro están almacenados en el directorio de inicio, estos cambios de permisos pueden afectar su capacidad para ejecutar operaciones SSH después de que su directorio de inicio se pueda escribir en grupo. Este problema no afecta a los usuarios que usan o amplían Airflow utilizando imágenes de referencia oficiales de Airflow Docker (https://hub.docker.com/r/apache/airflow/); de todos modos, esas imágenes requieren tener configurado el permiso de escritura grupal. Solo se verá afectado si instala Airflow usando la instalación local/virtualenv u otras imágenes de Docker, pero el problema no tiene ningún impacto si los contenedores de Docker se usan según lo previsto, es decir, cuando los componentes de Airflow no comparten contenedores con otras aplicaciones y usuarios. Además, no debería verse afectado si su umask es 002 (escritura en grupo habilitada); este es el valor predeterminado en muchos sistemas Linux. Recomendación para usuarios que usan Airflow fuera de los contenedores: * si está usando root para ejecutar Airflow, cambie su usuario de Airflow para usar no root * actualice Apache Airflow a 2.8.4 o superior * Si prefiere no actualizar, puede cambiar los https://airflow.apache.org/docs/apache-airflow/stable/configurations-ref.html#file-task-handler-new-folder-permissions a 0o755 (valor original 0o775). * si ya ejecutó tareas de Airflow antes y su umask predeterminada es 022 (escritura grupal deshabilitada), debe detener los componentes de Airflow, verificar los permisos de AIRFLOW_HOME/logs en todos sus componentes y todos los directorios principales de este directorio y eliminar el acceso de escritura grupal para todos los directorios principales
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.8.2 (incluyendo) | 2.8.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/26/2
- https://github.com/apache/airflow/pull/37310
- https://lists.apache.org/thread/8khb1rtbznh100o325fb8xw5wjvtv536
- http://www.openwall.com/lists/oss-security/2024/03/26/2
- https://github.com/apache/airflow/pull/37310
- https://lists.apache.org/thread/8khb1rtbznh100o325fb8xw5wjvtv536