通告信息内容

2021年1月06日，安识高新科技A-Team精英团队检测到Apache Flink 公布了文件目录穿越重生的漏洞通告，CVE序号为CVE-2020-17518，CVE-2020-17519。Apache Flink是一个开流源解决架构，其关键是用Java和Scala撰写的分布式系统流数据流分析模块。攻击者运用该漏洞可完成远程控制载入 *** 服务器随意文档，远程控制载入随意文档，存有巨大的安全风险。安识高新科技提议众多客户立即升級Apache Flink最新版，以防遭到此漏洞进攻。

漏洞简述

Apache Flink是一个开源系统的分布式系统流式的解决架构。关键是一个流式的的数据流分析实行模块，其对于数据流分析的分布式计算出示了数据分布、数据通讯及其容错纠错机制等作用。

CVE-2020-17518：

Apache Flink 1.5.1引进了REST API，攻击者根据故意结构的HTTP HEADER，能够将提交的文档载入系统文件的随意部位。

CVE-2020-17519：

Apache Flink 1.11.0 容许攻击者根据JobManager过程的REST API载入JobManager当地系统文件上的一切文档。

漏洞伤害

攻击者能够解析xmlREST API文件目录，远程控制载入和载入文档。

危害版本号

漏洞危害的版本号包含：

CVE-2020-17518：

Apache Flink：1.5.1-1.11.2

CVE-2020-17519：

Apache Flink：1.11.0, 1.11.1, 1.11.2

解决 ***

升級升级至Flink 1.11.3或1.12.0：

时间线

【-】2021年1月5日 Apache官方发布安全性公示

【-】2021年1月6日 安识高新科技A-Team精英团队依据官方网站公示剖析

【-】2021年1月6日 安识高新科技A-Team精英团队公布安全性通告