Apache Flink 两个高危漏洞 (CVE-2020-17518,CVE-2020-17519)

地球胖头鱼 2021-01-06
Web安全 发布于 2021-01-06 11:39:57 阅读 138 评论 0

基本信息

  • 风险等级: 高危
  • 漏洞类型: 任意文件创建,任意文件下载/读取
  • 漏洞利用: 有
  • 漏洞编号:CVE-2020-17518,CVE-2020-17519

漏洞描述

近日,监测到Apache Flink官方发布安全更新,漏洞编号为CVE-2020-17519和CVE-2020-17518。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞。CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统任意文件读取;CVE-2020-17518:通过构造恶意的http header,可实现远程文件写入。

受影响版本

Apache Flink 1.5.1 ~ 1.11.2

安全版本

  • Apache Flink 1.12.0
  • Apache Flink 1.11.3

Apache Flink两个高危漏洞 (CVE-2020-17518,CVE-2020-17519)

Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。

漏洞复现

Apache Flink两个高危漏洞 (CVE-2020-17518,CVE-2020-17519)

影响范围

Apache Flink 1.5.1 ~ 1.11.2

解决方案

临时修复建议

若业务环境允许,使用白名单限制相关web项目的访问来降低风险。

通用修复建议

官方已发布安全版本,请及时下载升级至安全版本。

情报来源

阿里云先知社区

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章174
  • 作者收获粉丝6
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量2.8 万(每日更新)
查看所有博文