【漏洞通告】CVE-2020-17518 Apache Flink任意文件写入漏洞
发布时间 2021-01-060x00 漏洞概述
产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 |
Apache Flink | CVE-2020-17518 | 任意文件写入 | 高危 | 是 |
CVE-2020-17519 | 任意文件读取 | 高危 | 是 |
0x01 漏洞详情
Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式数据流引擎。
2021年01月05日,Apache官方发布安全公告,公开了Apache Flink中的两个安全漏洞(CVE-2020-17518和CVE-2020-17519)。
Apache Flink任意文件写入漏洞(CVE-2020-17518)
Apache Flink 1.5.1引入了REST处理程序,由于功能上存在缺陷,攻击者可以通过修改HTTP HEADER将恶意文件写入到本地文件系统上的任意位置,并可通过Flink 访问。
影响范围:
Apache Flink 1.5.1-1.11.2
Apache Flink任意文件读取漏洞(CVE-2020-17519)
由于Apache Flink 1.11.0中引入了一项不安全的更改,允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任何文件, 但仅限于访问JobManager进程可访问的文件。攻击者可通过REST API使用../实现目录遍历。
影响范围:
Apache Flink 1.11.0、1.11.1、1.11.2
0x02 处置建议
目前Apache已经修复了相关漏洞,建议更新至Flink 1.11.3或1.12.0。
下载链接:
https://flink.apache.org/zh/downloads.html
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8Co+adXuNzmHmG+o0uE6TMFGQqGdq80o1icRRnkKAZpEA@mail.gmail.com%3E
http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8BZ+sMtZTNaU569f+8398WJr4k64WMDdSVaysgPy=HY2g@mail.gmail.com%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17518
0x04 时间线
2021-01-05 Apache发布安全公告
2021-01-06 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/