发布时间:2021-01-19 14:57:34,来源:斗象科技、安恒信息、北京天融信、深信服、祥云网安
近日,Apache官网发布了Apache Flink存在目录遍历漏洞的风险通告,对应CVE编号:CVE-2020-17518/CVE-2020-17519。攻击者通过REST API目录遍历,可造成任意文件读取/写入的影响。目前,Apache已发布安全版本修复该漏洞,建议受影响用户及时将Flink升级至1.11.3或1.12.0版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
Apache Flink是Apache基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。
CVE-2020-17518:该漏洞允许攻击者利用REST API,并通过精心构造的HTTP Header,实现远程文件写入。
CVE-2020-17519:该漏洞允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任意文件。
三、 影响范围
CVE-2020-17518:Flink 1.5.1至1.11.2
CVE-2020-17519:Flink 1.11.0、1.11.1、1.11.2
四、 安全建议
Apache官方建议用户尽快将Flink版本升级至1.11.3或1.12.0版本。
下载地址:https://flink.apache.org/downloads.html
五、 参考链接
https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E