主题 : Apache Flink 目录遍历漏洞
级别: 会元
UID: 87800
积分:842 加为好友
威望: 16 精华: 0
主题:95 回复:509
注册时间:2016-04-14
在线时长:0.04
1#   发表于:2021-01-13 17:17:37  IP:115.183.*.*
一、背景描述: Apache Flink 是一款业内非常火的大数据产品,由 Apache 软件基金会开发,核心是用 Java 和 Scala 编写的分布式流数据流引擎。Apache Flink 是个旨在提供‘一站式’ 的分布 式开源数据处理框架。 2021 年 1 月 5 日,Apache 官网发布公告,表明了 Apache Flink 存在 2 个目录遍历漏洞, CVE-2020-17518 通过 JobManager 进程的 REST 接口配合../进行目录跳转,实现系统任意文 件读取;CVE-2020-17519 可通过 REST API 读/写远程文件,相关 poc 已经在网上公开,危 害系统安全,影响较大。迪普科技提醒 Apache Flink 相关用户尽快采取安全措施阻止漏洞 攻击。 二、严重等级 高危 三、漏洞描述 该次漏洞源于 Apache Flink 中引入的 REST API。CVE-2020-17518 允许攻击者通过 RE ST API 并结合../进行目录跳转,可实现任意文件上传,覆盖系统文件,危害较大;CVE-20 20-17519 允许 Manager 进程的 REST 接口读取本地文件系统上的任何文件,这导致攻击者 可以实现目录穿越访问 JobManager 进程中的任意文件,危害较大



咱们的网站后台使用了这Apache Flink 这种技术吗?
级别: 管理员
UID: 136269
积分:3225 加为好友
威望: 0 精华: 0
主题:0 回复:2449
注册时间:2020-10-26
在线时长:36.95
2#   发表于:2021-01-13 17:26:15  IP:59.202.*.*
回复第1楼 您好,没有
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
级别: 管理员
UID: 136269
积分:3225 加为好友
威望: 0 精华: 0
主题:0 回复:2449
注册时间:2020-10-26
在线时长:36.95
3#   发表于:2021-01-13 17:26:57  IP:59.202.*.*
回复第1楼 操作说明书上有写道,囊括了使用的技术
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
级别: 会元
UID: 87800
积分:842 加为好友
威望: 16 精华: 0
主题:95 回复:509
注册时间:2016-04-14
在线时长:0.04
4#   发表于:2021-01-13 17:28:00  IP:115.183.*.*
多谢了.
级别: 管理员
UID: 136269
积分:3225 加为好友
威望: 0 精华: 0
主题:0 回复:2449
注册时间:2020-10-26
在线时长:36.95
5#   发表于:2021-01-13 17:37:48  IP:59.202.*.*
回复第4楼
不是享乐,也不是受苦;而是行动,在每个明天,我们命定的目标和道路,都要比今天前进一步。
1 共1页