鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】CVE-2020-17518 Apache Flink恣意文件写入误差

宣布时间 2021-01-06

0x00 误差概述

产品名称	CVE ID	类型	误差品级	远程使用
Apache Flink	CVE-2020-17518	恣意文件写入	高危	是
Apache Flink	CVE-2020-17519	恣意文件读取	高危	是

0x01 误差详情

Apache Flink是由Apache软件基金会开发的开源流处置惩罚框架，，，，，，其焦点是用Java和Scala编写的漫衍式数据流引擎。。。。。。。

2021年01月05日，，，，，，Apache官方宣布清静通告，，，，，，果真了Apache Flink中的两个清静误差（CVE-2020-17518和CVE-2020-17519）。。。。。。。

Apache Flink恣意文件写入误差（CVE-2020-17518）

Apache Flink 1.5.1引入了REST处置惩罚程序，，，，，，由于功效上保存缺陷，，，，，，攻击者可以通过修改HTTP HEADER将恶意文件写入到外地文件系统上的恣意位置，，，，，，并可通过Flink 会见。。。。。。。

影响规模：

Apache Flink 1.5.1-1.11.2

Apache Flink恣意文件读取误差（CVE-2020-17519）

由于Apache Flink 1.11.0中引入了一项不清静的更改，，，，，，允许攻击者通过JobManager历程的REST接口读取外地文件系统上的任何文件，，，，，，但仅限于会见JobManager历程可会见的文件。。。。。。。攻击者可通过REST API使用../实现目录遍历。。。。。。。

影响规模：

Apache Flink 1.11.0、1.11.1、1.11.2

0x02 处置惩罚建议

现在Apache已经修复了相关误差，，，，，，建议更新至Flink 1.11.3或1.12.0。。。。。。。

下载链接：

https://flink.apache.org/zh/downloads.html

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8Co+adXuNzmHmG+o0uE6TMFGQqGdq80o1icRRnkKAZpEA@mail.gmail.com%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8BZ+sMtZTNaU569f+8398WJr4k64WMDdSVaysgPy=HY2g@mail.gmail.com%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17518

0x04 时间线

2021-01-05 Apache宣布清静通告

2021-01-06 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】