Apache Flink 目录遍历漏洞安全告警

漏洞等级HighCVE编号CVE-2020-17518漏洞详情ApacheFlink发布了ApacheFlink目录穿越漏洞,目录穿越漏洞的风险通告,远程攻击者通过RESTAPI目录遍历,可造成文件读取/写入的影响。CVE-2020-17518:文件写入漏洞。攻击者利用RESTAPI,可以修改HTTP头,将上传的文件写入到本地文件系...

漏洞等级 High

CVE编号 CVE-2020-17518

漏洞详情

Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告,远程攻击者通过REST API目录遍历,可造成文件读取/写入的影响。

CVE-2020-17518: 文件写入漏洞。攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访问到的)。

CVE-2020-17519: 文件读取漏洞。Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件(JobManager进程能访问到的) 。

 

影响范围

CVE-2020-17519

Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2

CVE-2020-17519

Apache:Apache Flink: 1.5.1 – 1.11.2

 

修复方案

注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外

1、将Flink 升级至最新版本:Flink 1.11.3或1.12.0

 

 

参考链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

评论0



首页 导航 会员 客服
QQ客服 TOP