通告信息

2021年1月06日，安识科技A-Team团队监测到Apache Flink 发布了目录穿越的漏洞通告，CVE编号为CVE-2020-17518，CVE-2020-17519。Apache Flink是一个开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。攻击者利用该漏洞可实现远程读取服务器任意文件，远程写入任意文件，存在极大的安全隐患。安识科技建议广大用户及时升级Apache Flink最新版本，以免遭受此漏洞攻击。

漏洞概述

Apache Flink是一个开源的分布式流式处理框架。核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。

CVE-2020-17518：

Apache Flink 1.5.1引入了REST API，攻击者通过恶意构造的HTTP HEADER，可以将上传的文件写入文件系统的任意位置。

CVE-2020-17519：

Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件。

漏洞危害

攻击者可以遍历REST API目录，远程读取和写入文件。

影响版本

漏洞影响的版本包括：

CVE-2020-17518：

Apache Flink：1.5.1-1.11.2

CVE-2020-17519：

Apache Flink：1.11.0, 1.11.1, 1.11.2

解决方案

升级更新至Flink 1.11.3或1.12.0：

https://flink.apache.org/downloads.html

时间轴

【-】2021年1月5日 Apache官方发布安全公告

【-】2021年1月6日 安识科技A-Team团队根据官网公告分析

【-】2021年1月6日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/151162.html