2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞:
-
CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统任意文件读取;
-
CVE-2020-17518:通过构造恶意的http header,可实现远程文件写入。
漏洞描述
Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞,风险较大,本站安全专题提醒 Flink 用户尽快采取安全措施阻止漏洞攻击。
漏洞评级
CVE-2020-17518 高危
CVE-2020-17519 高危
影响范围
Apache Flink 1.5.1 ~ 1.11.2
安全版本
Apache Flink 1.12.0 1.11.3
安全建议
升级至安全版本或将Apache Flink禁止开放到互联网。
安全云中心应急漏洞模块已支持对该漏洞一键检测
安全云中心已可防御此漏洞攻击
安全云中心已可防御此漏洞攻击
相关链接
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
安全专题
2021.01.05