【漏洞通告】CVE-2020-17518 Apache Flink任意文件写入漏洞

发布时间 2021-01-06

0x00 漏洞概述

产品名称

CVE ID

类 型

漏洞等级

远程利用

Apache Flink

CVE-2020-17518

任意文件写入

高危

CVE-2020-17519

任意文件读取

高危

0x01 漏洞详情

 

image.png

 

Apache Flink是由ApacheApp基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式数据流引擎。

2021年01月05日,Apache官方发布安全公告,公开了Apache Flink中的两个安全漏洞(CVE-2020-17518和CVE-2020-17519)。

Apache Flink任意文件写入漏洞(CVE-2020-17518)

Apache Flink 1.5.1引入了REST处理程序,由于功能上存在缺陷,攻击者可以通过修改HTTP HEADER将恶意文件写入到本地文件系统上的任意位置,并可通过Flink 访问。

影响范围:

Apache Flink 1.5.1-1.11.2

 

Apache Flink任意文件读取漏洞(CVE-2020-17519)

由于Apache Flink 1.11.0中引入了一项不安全的更改,允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任何文件, 但仅限于访问JobManager进程可访问的文件。攻击者可通过REST API使用../实现目录遍历。

影响范围:

Apache Flink 1.11.0、1.11.1、1.11.2

 

0x02 处置建议

目前Apache已经修复了相关漏洞,建议更新至Flink 1.11.3或1.12.0。

下载链接:

https://flink.apache.org/zh/downloads.html


0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8Co+adXuNzmHmG+o0uE6TMFGQqGdq80o1icRRnkKAZpEA@mail.gmail.com%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAGr9p8BZ+sMtZTNaU569f+8398WJr4k64WMDdSVaysgPy=HY2g@mail.gmail.com%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17518

 

0x04 时间线

2021-01-05  Apache发布安全公告

2021-01-06  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png