Matej Murin

**Nome do software vulnerável e versões afetadas** Versões 2.8.2 a 2.8.3 do Apache Airflow **Descrição** O problema está relacionado à preservação inadequada de permissões no Apache Airflow, o que pode permitir que um invasor remoto obtenha acesso de gravação a arquivos arbitrários no sistema de arquivos. Isso ocorre porque o manipulador de tarefas de arquivos locais do Airflow define incorretamente as permissões para todas as pastas pai da pasta de log, adicionando acesso de gravação ao grupo Unix dessas pastas. Se o Airflow for executado com o usuário root, ele pode adicionar permissão de gravação de grupo a todas as pastas até a raiz do sistema de arquivos. Isso pode afetar a capacidade de executar operações SSH se os arquivos de log estiverem armazenados no diretório home. Usuários que utilizam imagens de referência oficiais do Airflow Docker ou que tenham um umask de 002 (gravação de grupo habilitada) não são afetados. **Recomendações** * Se você estiver usando o root para executar o Airflow, altere seu usuário do Airflow para usar um usuário que não seja root * Atualize o Apache Airflow para a versão 2.8.4 ou superior * Se preferir não atualizar, você pode alterar as permissões da nova pasta do manipulador de tarefas de arquivo para 0o755 (valor original 0o775) * Se você já executou tarefas do Airflow anteriormente e seu umask padrão é 022 (grupo sem permissão de gravação), pare os componentes do Airflow, verifique as permissões de AIRFLOW HOME/logs em todos os seus componentes e em todos os diretórios pai desse diretório, e remova o acesso de gravação do grupo para todos os diretórios pai