2021年1月,Apache Flink被曝出两个目录遍历漏洞(CVE-2020-17518, CVE-2020-17519),允许攻击者远程读写服务器文件,带来严重安全隐患。建议用户尽快升级至1.11.3或1.12.0版本以修复问题。"
127971239,13203604,Python面向对象编程学习与实践,"['python', '开发语言', '面向对象编程']
通告信息
2021年1月06日,安识科技A-Team团队监测到Apache Flink 发布了目录穿越的漏洞通告,CVE编号为CVE-2020-17518,CVE-2020-17519。Apache Flink是一个开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。攻击者利用该漏洞可实现远程读取服务器任意文件,远程写入任意文件,存在极大的安全隐患。安识科技建议广大用户及时升级Apache Flink最新版本,以免遭受此漏洞攻击。
漏洞概述
Apache Flink是一个开源的分布式流式处理框架。核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。
CVE-2020-17518:
Apache Flink 1.5.1引入了REST API,攻击者通过恶意构造的HTTP HEADER,可以将上传的文件写入文件系统的任意位置。
CVE-2020-17519:
Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件。
漏洞危害
攻击者可以遍历REST API目录,远程读取和写入文件。
影响版本
漏洞影响的版本包括:
CVE-2020-17518:
Apache Flink:1.5.1-1.11.2
CVE-2020-17519:
Apache Flink:1.11.0, 1.11.1, 1.11.2
解决方案
升级更新至Flink 1.11.3或1.12.0:
https://flink.apache.org/downloads.html
时间轴
【-】2021年1月5日 Apache官方发布安全公告
【-】2021年1月6日 安识科技A-Team团队根据官网公告分析
【-】2021年1月6日 安识科技A-Team团队发布安全通告
本文作者:安识科技
扫一扫
3423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
