< 文章详情

Apache Flink 目录遍历漏洞安全告警

2021/1/7  17:18 352次

发布时间 2021-01-06

更新时间 2021-01-06

漏洞等级 High

CVE编号 CVE-2020-17518

漏洞详情

Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告,远程攻击者通过REST API目录遍历,可造成文件读取/写入的影响。

CVE-2020-17518: 文件写入漏洞。攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访问到的)。

CVE-2020-17519: 文件读取漏洞。Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件(JobManager进程能访问到的) 。

影响范围

CVE-2020-17519

Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2

CVE-2020-17519

Apache:Apache Flink: 1.5.1 - 1.11.2

修复方案

注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外

1、将Flink 升级至最新版本:Flink 1.11.3或1.12.0

参考链接:

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

热门推荐

  • 台湾VPS 越南VPS 泰国VPS 日本VPS 印度尼西亚VPS 捷克VPS 印度VPS 柬埔寨VPS 菲律宾VPS 马来西亚VPS 哈萨克斯坦VPS
  • 快米云网络为您提供全球优质的服务器资源