Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和管道方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。
Apache Flink 1.5.1引入了REST接口,该接口存在多处缺陷,导致了目录遍历和任意文件写入漏洞。
WebRAY安全服务部将持续关注该漏洞进展,并将第一时间为您更新该漏洞信息。
01
漏洞概述
Flink 在 1.5.1 版本中引入了一个 REST handler,这允许攻击者将已上传的文件写入本地任意位置的文件中,并且可通过一个恶意修改的 HTTP 头将这些文件写入到 Flink 1.5.1 可以访问的任意位置。 Apache Flink 1.11.0中引入的一个更改(也在1.11.1和1.11.2中发布)允许攻击者通过JobManager进程的REST接口使用../../进行目录遍历以实现系统任意文件读取。 漏洞截图 任意文件读取 远程文件写入02
影响版本
漏洞编号 | 影响版本 | 漏洞类型 |
CVE-2020-17518 | Apache Flink 1.5.1 ~ 1.11.2 | 文件写入 |
CVE-2020-17519 | Apache Flink 1.11.0 ~ 1.11.2 | 任意文件读取 |
03
漏洞等级
WebRAY安全服务部风险评级:高危04
修复建议
1、临时修复建议: 若业务环境允许,使用白名单限制相关web项目的访问来降低风险。 2、官方已发布安全版本,请及时升级至Flink 1.11.3或Flink 1.12.0。 下载链接:https://flink.apache.org/zh/downloads.html ·END·