一、基本情况

近日,Apache官网发布了Apache Flink存在目录遍历漏洞的风险通告,对应CVE编号:CVE-2020-17518/CVE-2020-17519。攻击者通过REST API目录遍历,可造成任意文件读取/写入的影响。目前,Apache已发布安全版本修复该漏洞,建议受影响用户及时将Flink升级至1.11.3或1.12.0版本,并做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Apache Flink是Apache基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。

CVE-2020-17518:该漏洞允许攻击者利用REST API,并通过精心构造的HTTP Header,实现远程文件写入。

CVE-2020-17519:该漏洞允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任意文件。

四、影响范围

CVE-2020-17518:Flink 1.5.1至1.11.2

CVE-2020-17519:Flink 1.11.0、1.11.1、1.11.2

五、安全建议

Apache官方建议用户尽快将Flink版本升级至1.11.3或1.12.0版本。

下载地址:https://flink.apache.org/downloads.html

六、参考链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

支持单位:

上海斗象信息科技有限公司

杭州安恒信息技术股份有限公司

北京天融信网络安全技术有限公司

深信服科技股份有限公司

北京祥云网安科技有限责任公司

声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。