漏洞背景
Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。2021年1月5日,官方发布安全通告,修复了两个安全漏洞。分别是任意文件上传漏洞(CVE-2020-17518)和任意文件读取漏洞(CVE-2020-17519)。
漏洞描述
任意文件上传漏洞(CVE-2020-17518),由于一处文件上传API未对文件名进行过滤,导致可以通过../进行目录穿越,将文件上传到任意位置。
任意文件读取漏洞(CVE-2020-17519),同样由于未对文件名做过滤,导致通过../进行目录穿越来读取任意文件。
漏洞危害
高
影响版本
任意文件上传漏洞(CVE-2020-17518)影响:1.5.1 ~ 1.11.2
任意文件读取漏洞(CVE-2020-17519)影响:1.11.0, 1.11.1, 1.11.2
解决方案
-
升级至1.11.3或1.12.0及以上版本
参考信息
-
https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
-
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E
山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。
自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。
如需帮助请咨询 [email protected]
本文始发于微信公众号(山石网科安全技术研究院):漏洞通告 | Apache Flink两个高危漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论