GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】CVE-2020-17518 Apache Flink肆意文件写入缝隙

颁布功夫 2021-01-06

0x00 缝隙概述

产品名称	CVE ID	类型	缝隙等级	远程利用
Apache Flink	CVE-2020-17518	肆意文件写入	高危	是
Apache Flink	CVE-2020-17519	肆意文件读取	高危	是

0x01 缝隙详情

Apache Flink是由Apache软件基金会开发的开源流处置框架，其主题是用Java和Scala编写的散布式数据流引擎。

2021年01月05日，Apache官方颁布安全布告，公开了Apache Flink中的两个安全缝隙（CVE-2020-17518和CVE-2020-17519）。

Apache Flink肆意文件写入缝隙（CVE-2020-17518）

Apache Flink 1.5.1引入了REST处置法式，由于职能上存在缺点，攻击者能够通过批改HTTP HEADER将恶意文件写入到本地文件系统上的肆意地位，并可通过Flink 接见。

影响领域：

Apache Flink 1.5.1-1.11.2

Apache Flink肆意文件读取缝隙（CVE-2020-17519）

由于Apache Flink 1.11.0中引入了一项不安全的更改，允许攻击者通过JobManager过程的REST接口读取本地文件系统上的任何文件，但仅限于接见JobManager过程可接见的文件。攻击者可通过REST API使用../实现目录遍历。

影响领域：

Apache Flink 1.11.0、1.11.1、1.11.2

0x02 措置建议

目前Apache已经建复了有关缝隙，建议更新至Flink 1.11.3或1.12.0。

下载链接：

https://flink.apache.org/zh/downloads.html

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8Co+adXuNzmHmG+o0uE6TMFGQqGdq80o1icRRnkKAZpEA@mail.gmail.com%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8BZ+sMtZTNaU569f+8398WJr4k64WMDdSVaysgPy=HY2g@mail.gmail.com%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17518

0x04 功夫线

2021-01-05 Apache颁布安全布告

2021-01-06 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】