修復superset默認的key CVE-2023-27524

2023年5月21日363

AI 翻譯

這篇文章透過AI由英文翻譯成繁體中文。查看原文

AI 生成的摘要

參考：https://www.theregister.com/2023/04/25/apache_superset_cve/ superset舊版本預設使用"\2\1thisismyscretkey\1\2\\e\\y\\y\\h"作為加密的金鑰，用於session和資料庫表的加密，新版本則改為'USE_YOUR_OWN_SECURE_RANDOM_KEY' 修改superset/config.py中此項的值後發現應用不正常，報錯資料庫無法解密，找到了文中提到的commit發現果然有玄機，引入了SecretsMigrator來做資料表的遷移所以要正確完成舊版本的修復，需要做的：修改config.py中的SECRET_KEY 增加一項PREVIOUS_SECRET_KEY="\2\1thisismyscretkey\1\2\\e\\y\\y\\h" 覆蓋utils/encrypt：wget https://github.com/apache/superset/blob/412189fcb73268ddd4829d2fdb8381c5e47595ce/superset/utils/encrypt.py 修改superset/cli.py按照這個commit對著修改就行執行superset re-encrypt-secrets"

參考：https://www.theregister.com/2023/04/25/apache_superset_cve/

superset 舊版本預設使用"\2\1thisismyscretkey\1\2\\e\\y\\y\\h" 作為加密的 key，用於 sesison 和資料庫表的加密，新版本則改為了'USE_YOUR_OWN_SECURE_RANDOM_KEY'

在修改 superset/config.py 中此項的值後發現應用不正常，報錯資料庫無法解密，找到了文中提到的 commit 發現果然有玄機，引入了 SecretsMigrator 來做資料表的遷移

所以要正確完成舊版本的修復，需要做的：

修改 config.py 中的 SECRET_KEY
增加一項 PREVIOUS_SECRET_KEY="\2\1thisismyscretkey\1\2\e\y\y\h"
覆蓋utils/encrypt: wget https://github.com/apache/superset/blob/412189fcb73268ddd4829d2fdb8381c5e47595ce/superset/utils/encrypt.py
修改superset/cli.py 按照這個commit對著修改就行
執行 superset re-encrypt-secrets