主题 : Apache Flink 目录遍历漏洞
级别: 会元
UID: 87800
积分:925 加为好友
威望: 16 精华: 0
主题:106 回复:525
注册时间:2016-04-14
在线时长:0
1#   发表于:2021-01-13 17:17:37  IP:115.183.*.*
显示全部 只看该作者
一、背景描述: Apache Flink 是一款业内非常火的大数据产品,由 Apache 软件基金会开发,核心是用 Java 和 Scala 编写的分布式流数据流引擎。Apache Flink 是个旨在提供‘一站式’ 的分布 式开源数据处理框架。 2021 年 1 月 5 日,Apache 官网发布公告,表明了 Apache Flink 存在 2 个目录遍历漏洞, CVE-2020-17518 通过 JobManager 进程的 REST 接口配合../进行目录跳转,实现系统任意文 件读取;CVE-2020-17519 可通过 REST API 读/写远程文件,相关 poc 已经在网上公开,危 害系统安全,影响较大。迪普科技提醒 Apache Flink 相关用户尽快采取安全措施阻止漏洞 攻击。 二、严重等级 高危 三、漏洞描述 该次漏洞源于 Apache Flink 中引入的 REST API。CVE-2020-17518 允许攻击者通过 RE ST API 并结合../进行目录跳转,可实现任意文件上传,覆盖系统文件,危害较大;CVE-20 20-17519 允许 Manager 进程的 REST 接口读取本地文件系统上的任何文件,这导致攻击者 可以实现目录穿越访问 JobManager 进程中的任意文件,危害较大



咱们的网站后台使用了这Apache Flink 这种技术吗?
使用道具
   顶端
级别: 管理员
UID: 136269
积分:8356 加为好友
威望: 0 精华: 0
主题:0 回复:6382
注册时间:2020-10-26
在线时长:0
2#   发表于:2021-01-13 17:26:15  IP:59.202.*.*
显示全部 只看该作者
回复第1楼 您好,没有
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
使用道具
   顶端
级别: 管理员
UID: 136269
积分:8356 加为好友
威望: 0 精华: 0
主题:0 回复:6382
注册时间:2020-10-26
在线时长:0
3#   发表于:2021-01-13 17:26:57  IP:59.202.*.*
显示全部 只看该作者
回复第1楼 操作说明书上有写道,囊括了使用的技术
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
使用道具
   顶端
级别: 会元
UID: 87800
积分:925 加为好友
威望: 16 精华: 0
主题:106 回复:525
注册时间:2016-04-14
在线时长:0
4#   发表于:2021-01-13 17:28:00  IP:115.183.*.*
显示全部 只看该作者
多谢了.
使用道具
   顶端
级别: 管理员
UID: 136269
积分:8356 加为好友
威望: 0 精华: 0
主题:0 回复:6382
注册时间:2020-10-26
在线时长:0
5#   发表于:2021-01-13 17:37:48  IP:59.202.*.*
显示全部 只看该作者
回复第4楼
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
使用道具
   顶端
1 共1页