Apache Flink文件写入与任意文件读取漏洞(CVE-2020-17518/CVE-2020-17519)
日期:2021-01-06 00:00:00  发布人:教育信息化建设处  浏览量:72

组件介绍

Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。

Apache Flink的数据流编程模型在有限和无限数据集上提供单次事件(event-at-a-time)处理。在基础层面,Flink程序由流和转换组成。

Apache Flink的API:有界或无界数据流的数据流API、用于有界数据集的数据集API、表API

漏洞描述

近日,深信服安全团队监测到一则Apache Flink组件存在文件写入与任意文件读取漏洞的信息,漏洞编号:(CVE-2020-17518/CVE-2020-17519),漏洞:高危。该漏洞是由于Apache Flink 在受影响版本引入不安全的REST API接口,攻击者可利用漏洞在未授权的情况下,构造恶意数据执行任意文件读取或文件写入攻击,最终获取服务器敏感性信息或权限。

 

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://flink.apache.org/

核发:0 点击数:72 收藏本页
 

联系电话:023-42464987 重庆人文科技学院教育信息化建设处 版权所有