【高危安全通知】Apache Flink 高危漏洞预警

作者：

发布时间：2021-01-06

2021年1月5日，Apache官网发布公告通报了CVE-2020-17519, CVE-2020-17518两个高危漏洞。

漏洞描述

1、CVE-2020-17519：攻击者可通过REST API使用/跳目录实现系统任意文件读取；

2、CVE-2020-17518：通过构造恶意的http header，可实现远程文件写入。

Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞，风险较大。

安全狗应急响应中心提醒 Flink 用户尽快采取安全措施阻止漏洞攻击。

安全通告信息

漏洞名称	Apache Flink高危漏洞
漏洞影响版本	Apache Flink 1.5.1 ~ 1.11.2
漏洞危害等级	高危
厂商是否已发布漏洞补丁	是
版本更新地址	https://flink.apache.org/downloads.html
安全狗总预警期数	146
安全狗发布预警日期	2021年1月5日
安全狗更新预警日期	2021年1月5日
发布者	安全狗海青实验室

处置措施

安全建议

1、安全安全版本

Flink 1.11.3或Flink 1.12.0

安全狗安全专家建议受影响的用户升级Apache Flink至最新版本1.11.3或1.12.0。

参考链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

2、安全狗安全解决方案

安全狗新一代云主机入侵监测及安全管理平台（云眼）漏洞库日期2021-01-05之后的版本已支持对Apache Flink 高危漏洞（CVE-2020-17518|CVE-2020-17519）进行检测。

标签：

上一篇：服务器防护软件排行

最新资讯: 企业级网络防火墙可以防护哪些方面?; 企业网络等保测评必须要做吗-企业网络等保测评的必要性分析; 云安全环境加固需要哪些措施？; 网络安全隔离设备有哪些; 网站被挂马怎么解决; web应用防火墙怎么部署?; 网络安全审计系统有哪些功能?多少钱?; 服务器卡顿动不了怎么解决; 网站中木马被反复篡改的彻底修复方法; 服务器被篡改登录不上怎么办？