Một vấn đề bảo mật đã được xác định và khắc phục trong Apache DolphinScheduler bản phát hành mới nhất. Đây là một lỗ hổng CVE quan trọng mà các quản trị viên hệ thống cần lưu ý.

Phân tích Lỗ hổng CVE-2024-43166

Lỗ hổng này, được xác định là CVE-2024-43166 và phân loại theo CWE-276: Incorrect Default Permissions, ảnh hưởng đến tất cả các phiên bản DolphinScheduler trước 3.2.2.

Người dùng được khuyến nghị nâng cấp lên phiên bản 3.3.1 càng sớm càng tốt để giảm thiểu rủi ro tiềm ẩn liên quan đến lỗ hổng CVE này.

Apache DolphinScheduler là gì?

Apache DolphinScheduler là một hệ thống lập lịch phân tán, mã nguồn mở, được thiết kế để điều phối các luồng công việc dữ liệu phức tạp.

Hệ thống này được áp dụng rộng rãi nhờ khả năng mở rộng, chịu lỗi và các tính năng giám sát phong phú, đóng vai trò quan trọng trong các nền tảng dữ liệu lớn.

Chi tiết về Lỗ hổng Quyền Mặc định

Vào ngày 3 tháng 9 năm 2025, nhà nghiên cứu bảo mật L0ne1y đã báo cáo rằng quyền mặc định của tệp và thư mục của DolphinScheduler đã quá lỏng lẻo trong các phiên bản trước 3.2.2.

Chi tiết về báo cáo này có thể tìm thấy tại danh sách gửi thư bảo mật của Apache.

Trong các điều kiện này, người dùng không được ủy quyền, trong một số cấu hình nhất định, có thể truy cập các tệp hoặc thư mục lẽ ra phải bị hạn chế.

Điều này tiềm ẩn nguy cơ phơi bày các định nghĩa luồng công việc nhạy cảm, thông tin xác thực hoặc nhật ký. Đây là một lỗ hổng CVE cần được xử lý nghiêm túc.

Tác động và Rủi ro Bảo mật

Trong các môi trường chia sẻ hoặc đa người thuê – vốn phổ biến trong các nền tảng dữ liệu doanh nghiệp – lỗ hổng CVE này có thể cho phép một tác nhân độc hại hoặc người dùng không có đặc quyền đọc các tệp cấu hình hoặc nhật ký thuộc về người dùng khác.

Để quản lý rủi ro hiệu quả, việc hiểu rõ bản chất của lỗ hổng CVE này là cần thiết.

Vấn đề này đã nhanh chóng được gán mã định danh CVE-2024-43166 và được Lidong Dai công bố trên danh sách gửi thư bảo mật của dự án vào thứ Tư, ngày 3 tháng 9 năm 2025.

Mặc dù được xếp hạng mức độ nghiêm trọng thấp, việc khai thác thành công lỗ hổng CVE này đòi hỏi quyền truy cập cục bộ hoặc khả năng tương tác hiện có với hệ thống tệp của máy chủ DolphinScheduler.

Hiện tại, chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Đây là một điểm quan trọng để đánh giá rủi ro bảo mật.

Dù không trực tiếp cho phép thực thi mã từ xa (RCE) hoặc đánh cắp dữ liệu, lỗ hổng CVE này vẫn vi phạm nguyên tắc đặc quyền tối thiểu (principle of least privilege).

Giải pháp Khắc phục và Cập nhật Bản vá Bảo mật

Đội ngũ phát triển DolphinScheduler đã khắc phục quyền mặc định không chính xác trong bản phát hành 3.3.1.

Bản cập nhật này thắt chặt các chính sách tạo tệp và thư mục, đảm bảo rằng chỉ những người dùng hệ thống được ủy quyền và tài khoản dịch vụ DolphinScheduler mới có thể truy cập các tệp quan trọng.

Cụ thể, các mặc định nghiêm ngặt hơn này tuân thủ các thực tiễn tốt nhất trong ngành và nguyên tắc đặc quyền tối thiểu.

Điều này giúp giảm bề mặt tấn công trong các triển khai sản xuất và tăng cường an ninh mạng cho hệ thống.

Hướng dẫn Nâng cấp Apache DolphinScheduler

Để cập nhật cài đặt Apache DolphinScheduler của bạn, hãy làm theo hướng dẫn chính thức từ dự án.

Việc áp dụng bản vá bảo mật này là rất quan trọng để đảm bảo tính toàn vẹn và bảo mật cho hệ thống của bạn.

# Bước 1: Sao lưu dữ liệu và cấu hình hiện tại
# Trước khi thực hiện bất kỳ nâng cấp nào, luôn tạo bản sao lưu toàn diện.

# Bước 2: Dừng dịch vụ Apache DolphinScheduler
sudo systemctl stop dolphinscheduler

# Bước 3: Tải xuống và giải nén phiên bản mới nhất (3.3.1)
# Truy cập trang tải xuống chính thức của Apache DolphinScheduler để lấy liên kết chính xác.
# Ví dụ:
wget https://dlcdn.apache.org/dolphinscheduler/3.3.1/apache-dolphinscheduler-3.3.1-bin.zip
unzip apache-dolphinscheduler-3.3.1-bin.zip -d /opt/dolphinscheduler-3.3.1

# Bước 4: Di chuyển cấu hình và dữ liệu
# Thực hiện theo hướng dẫn di chuyển cụ thể trong tài liệu chính thức của DolphinScheduler.
# Điều này thường liên quan đến việc sao chép tệp cấu hình (ví dụ: application.yaml) 
# và di chuyển cơ sở dữ liệu nếu cần.

# Bước 5: Cập nhật biến môi trường hoặc đường dẫn dịch vụ
# Đảm bảo hệ thống của bạn trỏ đến thư mục cài đặt mới.

# Bước 6: Khởi động dịch vụ DolphinScheduler mới
sudo systemctl start dolphinscheduler

# Lưu ý quan trọng:
# Các lệnh trên chỉ mang tính minh họa. Luôn tham khảo tài liệu nâng cấp chính thức 
# của Apache DolphinScheduler (thường có trên trang web dự án hoặc GitHub) để biết 
# các bước chi tiết và phù hợp nhất với phiên bản và môi trường triển khai của bạn.

Khuyến nghị Bảo mật Chung

Mặc dù có mức độ nghiêm trọng thấp, lỗ hổng CVE-2024-43166 liên quan đến quyền mặc định vẫn nhấn mạnh sự cần thiết của việc kiểm soát truy cập tệp nghiêm ngặt trong các hệ thống dữ liệu đa người thuê.

Tất cả người dùng DolphinScheduler đang sử dụng các phiên bản trước 3.2.2 nên nâng cấp lên 3.3.1 ngay lập tức.

Hành động này sẽ đảm bảo nền tảng bảo mật vững chắc và tuân thủ các thực tiễn tốt nhất về quản lý quyền. Việc cập nhật bản vá là một biện pháp phòng ngừa thiết yếu để duy trì an toàn thông tin.