关于我们

质量为本、客户为根、勇于拼搏、务实创新、以我所能,为你而+,助力轻松触及云端

< 返回新闻公共列表

Apache Flink远程读/写文件漏洞风险通告(CVE-2020-17518,CVE-2020-17519)

发布时间:2021-01-06 15:27:23

尊敬的用户,您好!

近日,互联网安全运营中心监测到,Apache官方发布安全公告,通报了Apache Flink存在可利用REST API读/写远程文件漏洞,漏洞编号CVE-2020-17518,CVE-2020-17519

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

 Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。 

CVE-2020-17518

Flink 1.5.1版本引入了REST handler,允许通过恶意修改的HTTP HEADER,将任意文件上传到Flink可访问的文件系统的任意位置。

CVE-2020-17519:

Flink 1.11.0-1.11.2版中的一项更改允许攻击者通过JobManager进程的REST接口读取该进程有权限访问的任何文件。

风险等级

高风险

漏洞风险

CVE-2020-17518:漏洞被利用可导致任意文件上传

CVE-2020-17519:漏洞被利用可导致任意文件读取

影响版本

CVE-2020-17518:1.5.1 - 1.11.2

CVE-2020-17519:1.11.0, 1.11.1, 1.11.2

安全版本

Flink 1.11.3或1.12.0

修复建议

将所使用的Flink升级至上述安全版本

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。

漏洞参考

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E 

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E 


棉花云运营部


/template/Home/mianhuayun/PC/Static