尊敬的用戶，您好！

近日，互聯(lián)網(wǎng)安全運營中心監(jiān)測到，Apache官方發(fā)布安全公告，通報了Apache Flink存在可利用REST API讀/寫遠程文件漏洞，漏洞編號CVE-2020-17518，CVE-2020-17519。

為避免您的業(yè)務受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

 Apache Flink是由Apache軟件基金會開發(fā)的開源流處理框架，其核心是用Java和Scala編寫的分布式流數(shù)據(jù)流引擎。 

CVE-2020-17518：

Flink 1.5.1版本引入了REST handler，允許通過惡意修改的HTTP HEADER，將任意文件上傳到Flink可訪問的文件系統(tǒng)的任意位置。

CVE-2020-17519：

Flink 1.11.0-1.11.2版中的一項更改允許攻擊者通過JobManager進程的REST接口讀取該進程有權(quán)限訪問的任何文件。

風險等級

高風險

漏洞風險

CVE-2020-17518：漏洞被利用可導致任意文件上傳

CVE-2020-17519：漏洞被利用可導致任意文件讀取

影響版本

CVE-2020-17518：1.5.1 - 1.11.2

CVE-2020-17519：1.11.0, 1.11.1, 1.11.2

安全版本

Flink 1.11.3或1.12.0

修復建議

將所使用的Flink升級至上述安全版本

【備注】：建議您在安裝補丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外。

漏洞參考

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E 

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E 

棉花云運營部