• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-17518/17519:Apache Flink 目錄遍歷漏洞

        時間:2021-1-8

        0x01漏洞簡述

        2021年01月06日,360CERT監測發現Apache Flink發布了Apache Flink 目錄穿越漏洞,目錄穿越漏洞的風險通告,漏洞編號為CVE-2020-17518,CVE-2020-17519,漏洞等級:高危,漏洞評分:8.5。

        遠程攻擊者通過REST API目錄遍歷,可造成文件讀取/寫入的影響。

        對此,360CERT建議廣大用戶及時將Apache Flink升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        高危

        影響面

        一般

        360CERT評分

        8.5

        0x03漏洞詳情

        Apache Flink是由Apache軟件基金會開發的開源流處理框架,其核心是用Java和Scala編寫的分布式流數據流引擎。在Apache Flink 1.5.1版本中引入了REST API。

        CVE-2020-17518: 文件寫入漏洞

        攻擊者利用REST API,可以修改HTTP頭,將上傳的文件寫入到本地文件系統上的任意位置(Flink 1.5.1進程能訪問到的)。

        CVE-2020-17519: 文件讀取漏洞

        Apache Flink 1.11.0 允許攻擊者通過JobManager進程的REST API讀取JobManager本地文件系統上的任何文件(JobManager進程能訪問到的) 。

        0x04影響版本

        CVE-2020-17519

        –Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2

        CVE-2020-17519

        –Apache:Apache Flink: 1.5.1 – 1.11.2

        0x05修復建議

        通用修補建議

        所有用戶升級到Flink 1.11.3或1.12.0,下載鏈接為:

        https://flink.apache.org/downloads.html

        0x06相關空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Apache Flink產品具體分布如下圖所示。

        0x07時間線

        2021-01-05?Apache官方發布通告

        2021-01-06?360CERT發布通告

        0x08參考鏈接

        1、 CVE-2020-17518

        2、 CVE-2020-17519

        0x09特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。用戶可直接通過以下鏈接進行特制報告的下載。

        CVE-2020-17518/17519:Apache Flink 目錄遍歷漏洞

        本文由360CERT安全通告原創發布
        https://wangzhan.#/408.html

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航