记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Apache Flink高危漏洞 (CVE-2020-17518/17519)

2021-01-07 10:40

Apache Flink高危漏洞 (CVE-2020-17518/17519)-极度安全

Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞,风险较大。

2021年1月5日,Apache Flink官方发布安全更新,修复了以下2个高危漏洞:

CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统任意文件读取;

CVE-2020-17518:通过构造恶意的http header,可实现远程文件写入。

漏洞描述

Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞,风险较大,阿里云应急响应中心提醒 Flink 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2020-175198 高危

CVE-2020-17519 高危

影响范围

Apache Flink 1.5.1 ~ 1.11.2

安全版本

Apache Flink 1.12.0 1.11.3

安全建议

升级至安全版本或将Apache Flink禁止开放到互联网。

相关链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

我们会关注后续进展,请随时关注官方公告。


知识来源: https://www.secvery.com/4952.html

阅读:105160 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“Apache Flink高危漏洞 (CVE-2020-17518/17519)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁