202101-001:Apache Flink 目录遍历漏洞安全告警

释放时间

2021-01-06

更新时间

2021-01-06

危险级别

CVE 编号

CVE-2020-17518

漏洞细节

ApacheFlink 发布 ApacheFlink 目录遍历漏洞、目录遍历漏洞的风险公告和通过 RESTAPI 目录遍历远程攻击者,这可能导致文件读 / 写效果。

CVE-2020-17518:文件写入漏洞。攻击者可以使用 RESTAPI 修改 HTTP 头并将上传的文件写入本地文件系统中的任何位置(可通过 Flink 1.5.1 进程访问)。

CVE-2020-17519:文件读取漏洞。ApacheFlink 1.11.0 允许攻击者通过 JobManager 进程的 RESTAPI(JobManager 进程可访问)读取 JobManager 本地文件系统上的任何文件。

影响范围

CVE-2020-17519

Apache:ApacheFlink:1.11.0,1.11.1,1.11.2

CVE-2020-17519

Apache:ApacheFlink:1.5.1-1.11.2

防御方案

注意:在安装和升级之前,要做好数据备份、快照和测试,以防止事故的发生

  1. 将 Flink 升级到最新版本:Flink 1.11.3 或 1.12.0
  2. 使用 web 应用程序防火墙进行安全保护
202101-001:Apache Flink 目录遍历漏洞安全告警

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论