根据提供的网页截图,这是一个关于DataBricks Hook中TLS证书验证漏洞的GitHub Issue讨论。以下是关键信息的总结: 漏洞概述 标题: Enable TLS Certificate Verification for K8s Token Exchange in DataBricks Hook (#63704) 核心问题: 在DataBricks Hook中,Kubernetes Token Exchange(K8s Token Exchange)功能默认未启用TLS证书验证。这可能导致中间人攻击(MITM),攻击者可以拦截并伪造令牌交换请求。 具体表现: 代码中使用了 库进行HTTPS请求,但设置了 ,从而禁用了证书验证。 影响范围 受影响组件: DataBricks Hook (Airflow provider)。 具体代码位置: (具体在 方法中)。 涉及版本: 讨论中提到了 版本,且该问题似乎存在于该版本及之前的版本中。 修复方案 建议方案: 在 调用中启用证书验证(即移除 或设置为 )。 讨论细节: 用户 指出代码中显式禁用了验证。 用户 确认了这是一个安全问题,并建议修复。 最终通过PR(Pull Request)修复,PR链接为 。 修复后的代码逻辑:默认启用验证,但允许用户通过配置参数 来覆盖(默认为 )。 POC/利用代码 (从截图中提取) 截图中的代码片段展示了存在漏洞的原始代码逻辑(在 方法中): 截图下方展示了修复后的代码逻辑(在PR中): 相关配置变更 (修复方案的一部分) 漏洞总结 漏洞概述 标题: Enable TLS Certificate Verification for K8s Token Exchange in DataBricks Hook (#63704) 核心问题: Apache Airflow 的 DataBricks Hook 组件在进行 Kubernetes Token Exchange(K8s Token Exchange)时,默认禁用了 TLS 证书验证。这导致在令牌交换过程中存在中间人攻击(MITM)风险,攻击者可以拦截并伪造 HTTPS 请求。 具体表现: 代码中在使用 库发起 HTTPS 请求时,显式设置了 。 影响范围 受影响组件: (DataBricks Hook)。 具体方法: 方法。 涉及版本: 主要影响 2.1.0 及之前的版本(根据讨论上下文推断)。 修复方案 修复措施: 移除硬编码的 ,改为默认启用证书验证( )。 配置灵活性: 引入了 配置参数,允许用户在特殊情况下(如使用自签名证书)手动关闭验证,但默认行为是开启验证以确保安全。 修复状态: 已通过 PR #63704 合并修复。 相关代码片段 (POC/修复对比) 存在漏洞的代码 (原始逻辑): 修复后的代码 (PR 逻辑):**