ADV-2023-001: Nicht autorisierter TabPy-Zugriff auf Tableau Server

Veröffentlichungsdatum: Nov 8, 2023

Beschreibung

TabPy (Tableau Python Server)-Installationen können so konfiguriert werden, dass beliebiger Python-Code ohne Authentifizierung ausgeführt wird. Diese Konfiguration ist für Administratoren, die TabPy installiert haben, möglicherweise nicht sofort erkennbar.

Ein nicht authentifizierter Angreifer kann Remotecodeausführung auf TabPy-Instanzen durchführen, die keine Authentifizierung aktiviert haben. TabPy ist so konzipiert, dass es sowohl mit als auch ohne Authentifizierung ausgeführt werden kann. Diejenigen, die TabPy im nicht authentifizierten Modus ausführen, sind sich des potenziellen Risikos möglicherweise nicht bewusst und sollten die Dokumentation unter https://github.com/tableau/TabPy genau studieren.

HINWEIS: Es handelt sich nicht um eine Sicherheitslücke in Tableau. Dies ist eine nicht empfohlene Implementierung von TabPy, die potenzielle Risiken birgt.

Lösung

TabPy 2.9.0 erfordert jetzt die Bestätigung einer Warnmeldung, um TabPy ohne Authentifizierung weiterlaufen zu lassen. Diese Warnmeldung enthält einen Hinweis, dass die Ausführung von TabPy ohne Authentifizierung eine unsichere Konfiguration darstellt und nicht empfohlen wird.

Zusätzliche Ressourcen

Schweregrad: Kritisch

CVSS3 Score: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A: 10.0H

Nummer des Knowledge-Artikels

001475337

Konnten Sie Ihr Problem mithilfe dieses Artikels lösen?

Geben Sie uns Feedback, damit wir uns verbessern können.

ADV-2023-001: Nicht autorisierter TabPy-Zugriff auf Tableau Server

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List