本文是关于Apache Flink目录遍历漏洞的。边肖觉得很实用,所以分享给大家学习。希望你看完这篇文章能有所收获。我们就不多说了。让我们和边肖一起看看。
00-1010 2021年1月6日,360CERT监测发现,Apache Flink发布了Apache Flink的目录遍历漏洞和目录遍历漏洞风险通知,漏洞号CVE-2020-17518,CVE-2020-17519,漏洞等级:高风险,漏洞评分:8.5。
远程攻击者遍历REST API目录,可能会影响文件读/写。
对此,360CERT建议用户及时将Apache Flink升级到最新版本。同时请做好资产自检和防范工作,避免被黑客攻击。
00-1010360CERT对此漏洞的评估结果如下
评估方法、等级、威胁等级、高风险影响面,一般360CERT评分8.5
0x01漏洞简述
Apache Flink是Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。REST API是在Apache Flink 1 . 5 . 1版本中引入的。
0x02风险等级
攻击者可以使用REST API修改HTTP头,并将上传的文件写入本地文件系统的任何位置(可由Flink 1.5.1进程访问)。
0x03漏洞详情
Apache Flink 1.11.0允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件(可由JobManager进程访问)。
CVE-2020-17518: 文件写入漏洞
CVE-2020-17519: 文件读取漏洞
-Apache : Apache Flink 3360 1 . 11 . 0、1.11.1、1.11.2
0x04影响版本
-Apache : Apache Flink 3360 1 . 5 . 1-1 . 11 . 2
CVE-2020-17519
CVE-2020-17519
所有用户升级到Flink 1.11.3或1.12.0。下载链接是:
https://flink.apache.org/downloads.html
https://flink.apache.org/downloads.html
00-1010360安全脑震荡网络空间映射系统通过对整个网络的资产进行映射,发现Apache Flink产品的具体分布如下图所示。
010-
0x05修复建议
通用修补建议
360CERT安全分析师使用360安全大脑QUAKE资产映射平台(quake.360.cn)通过资产映射技术监控漏洞。可以联系相关产品区负责人或(quake#360.cn)获取相应产品。
以上是Apache Flink目录遍历漏洞。边肖认为,一些知识点可能会在我们的日常工作中看到或使用。我希望你能通过这篇文章学到更多的知识。更多详情请关注行业信息渠道。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/153864.html