漏洞等级HighCVE编号CVE-2020-17518漏洞详情ApacheFlink发布了ApacheFlink目录穿越漏洞,目录穿越漏洞的风险通告,远程攻击者通过RESTAPI目录遍历,可造成文件读取/写入的影响。CVE-2020-17518:文件写入漏洞。攻击者利用RESTAPI,可以修改HTTP头,将上传的文件写入到本地文件系...
漏洞等级 High
CVE编号 CVE-2020-17518
漏洞详情
Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告,远程攻击者通过REST API目录遍历,可造成文件读取/写入的影响。
CVE-2020-17518: 文件写入漏洞。攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访问到的)。
CVE-2020-17519: 文件读取漏洞。Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件(JobManager进程能访问到的) 。
影响范围
CVE-2020-17519
Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2
CVE-2020-17519
Apache:Apache Flink: 1.5.1 – 1.11.2
修复方案
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1、将Flink 升级至最新版本:Flink 1.11.3或1.12.0
参考链接
https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E