![apache_airflow](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/08/apache_airflow-1.jpg)
Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Apache Airflow, Airflow SMTP Provider y Airflow IMAP Provider, que permitiría a un atacante realizar ataques del tipo Man-in-the-Middle (MITM), poner en peligro el canal de comunicación e incluso el sistema afectado.
La vulnerabilidad identificada como CVE-2023-39441, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad del tipo Man-in-the-Middle (MITM) se debe a una vulnerabilidad en la validación del certificado X.509 del servidor en Apache Airflow, Airflow SMTP Provider y Airflow IMAP Provider donde se omite la verificación del certificado SSL del servidor. Esto permitiría que cualquier certificado sea aceptado para establecer una conexión segura, lo cual permitiría a un atacante poder realizar técnicas de MITM que podría derivar en la divulgación de credenciales del servidor de correo, contenido del correo e incluso poner en peligro al sistema afectado, cuando un usuario se conecta al cliente de correo.
Los productos afectados son:
- Apache Airflow, versiones anteriores a 2.7.0.
- Apache Airflow SMTP Provider, versiones anteriores a 1.3.0.
- Apache Airflow IMAP Provider, versiones anteriores a 3.3.0.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en las siguientes guías:
- https://airflow.apache.org/
- https://airflow.apache.org/docs/apache-airflow-providers-smtp/stable/installing-providers-from-sources.html
- https://airflow.apache.org/docs/apache-airflow-providers-imap/stable/index.html#apache-airflow-providers-imap
Referencias:
- https://www.redpacketsecurity.com/apache-airflow-airflow-smtp-provider-and-airflow-imap-provider-man-in-the-middle-cve-2023-39441-4/
- https://nvd.nist.gov/vuln/detail/CVE-2023-39441
- https://lists.apache.org/thread/xzp4wgjg2b1o6ylk2595df8bstlbo1lb
- https://airflow.apache.org/
- https://airflow.apache.org/docs/apache-airflow-providers-smtp/stable/installing-providers-from-sources.html
- https://airflow.apache.org/docs/apache-airflow-providers-imap/stable/index.html#apache-airflow-providers-imap