7日，國家信息安全漏洞庫（CNNVD）發(fā)布關(guān)于Apache Flink安全漏洞的通報，華云安作為CNNVD技術(shù)支撐單位為此漏洞通報提供支持。

近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Apache Flink安全漏洞（CNNVD-202101-271、CVE-2020-17519）（CNNVD-202101-273、CVE-2020-17518）情況的報送。成功利用漏洞的攻擊者，可在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行任意文件讀取或文件寫入攻擊，最終獲取服務(wù)器敏感性信息或權(quán)限。Apache Flink 1.5.1 - 1.11.2版本均受此漏洞影響。目前，Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞，建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。

一、漏洞介紹

Apache Flink是美國阿帕奇軟件（Apache）基金會的一款開源的分布式流數(shù)據(jù)處理引擎。該產(chǎn)品主要使用Java和Scala語言編寫。

Apache Flink安全漏洞（CNNVD-202101-271、CVE-2020-17519）：該漏洞允許攻擊者通過JobManager進程的REST接口讀取JobManager本地文件系統(tǒng)上的任何文件。

Apache Flink安全漏洞（CNNVD-202101-273、CVE-2020-17518）：該漏洞源于一個REST處理程序允許攻擊者通過惡意修改的HTTP頭將上傳的文件寫入到本地文件系統(tǒng)上的任意位置。

二、危害影響

成功利用漏洞的攻擊者，可在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行任意文件讀取或文件寫入攻擊，最終獲取服務(wù)器敏感性信息或權(quán)限。受漏洞影響版本如下：

Apache Flink安全漏洞（CNNVD-202101-271、CVE-2020-17519）：Apache Flink 1.11.0 - 1.11.2 版本

Apache Flink安全漏洞（CNNVD-202101-273、CVE-2020-17518）：Apache Flink 1.5.1 版本

三、修復建議

目前，Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞。建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。Apache官方更新鏈接如下：

Apache Flink安全漏洞（CNNVD-202101-271、CVE-2020-17519）：

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d@%3Cuser.flink.apache.org%3E

Apache Flink安全漏洞（CNNVD-202101-273、CVE-2020-17518）：

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261@%3Cuser.flink.apache.org%3E

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。