近日，金山云安全应急响应中心监测到Apache Flink官方发布安全更新，修复了2个高危漏洞：CVE-2020-17518和CVE-2020-17519。

本次修复的漏洞影响广泛，风险较高。建议使用了Flink的用户尽快升级至安全版本，避免遭受恶意攻击。

风险等级

高危

漏洞描述

Apache Flink 作为高效和分布式的通用数据处理平台被被广泛应用。

Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞，风险较高。

CVE-2020-17519：攻击者可通过REST API使用../跳目录实现系统任意文件读取；

CVE-2020-17518：通过构造恶意的http header，可实现远程文件写入。

影响版本

Apache Flink 1.5.1-1.11.2

安全版本

Apache Flink 1.12.0

Apache Flink 1.11.3

修复建议

升级至安全版本

参考链接

[1]https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

[2]https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

北京金山云网络技术有限公司

2021/01/06