【风险公告】Apache Flink 高危缝隙
2021-01-06 00:00:00
近日,�,�,234钱包安全应急响应中心监测到Apache Flink官方颁布安全更新,�,�,修复了2个高危缝隙�::�:CVE-2020-17518和CVE-2020-17519。�。�。
本次修复的缝隙影响宽泛,�,�,风险较高。�。�。建议使用了Flink的用户尽快升级至安全版本,�,�,预防遭逢恶意攻击。�。�。
风险等级
高危
缝隙描述
Apache Flink 作为高效和散布式的通用数据处置平台被被宽泛利用。�。�。
Flink 1.5.1引入了REST API,�,�,但其实现上存在多处缺点,�,�,导致目录遍历和肆意文件写入缝隙,�,�,风险较高。�。�。
CVE-2020-17519�::�:攻击者可通过REST API使用../跳目录实现系统肆意文件读取�。��;�;
CVE-2020-17518�::�:通过机关恶意的http header,�,�,可实现远程文件写入。�。�。
影响版本
Apache Flink 1.5.1-1.11.2
安全版本
Apache Flink 1.12.0
Apache Flink 1.11.3
修复建议
升级至安全版本
参考链接
[1]https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
[2]https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E
北京234钱包网络技术有限公司
2021/01/06