Apache Flink官方发布安全更新,修复了2个高危漏洞:CVE-2020-17518和CVE-2020-17519。
本次修复的漏洞影响广泛,风险较高。建议使用了Flink的用户尽快升级至安全版本,避免遭受恶意攻击。
风险等级
高危
漏洞描述
Apache Flink 作为高效和分布式的通用数据处理平台被被广泛应用。
Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞,风险较高。
CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统任意文件读取;
CVE-2020-17518:通过构造恶意的http header,可实现远程文件写入。
影响版本
Apache Flink 1.5.1-1.11.2
安全版本
Apache Flink 1.12.0
Apache Flink 1.11.3
修复建议
升级至安全版本
参考链接
[1]https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
[2]https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E
声明: 博客仅为信息分享,绝非推荐,网站不参与交易,内容均仅代表个人观点,仅供参考,读者务必认真考虑后下手并自担风险;一分钱一分货仍是恒久不变之真理,任何IDC都有倒闭和跑路的可能,月付和备份是最佳选择,VPS大学有专门介绍网站备份的文章,数据是无价的,经常备份,养成好习惯;本文由( VPS大学 )原创编译,转载请保留链接并注明出处;其他问题,请加入VPS大学QQ交流群 230888568 ,一起解决问题。
