2020年1月5日,Apache Flink官方公布平安更新,修复了由蚂蚁平安非攻实验室发现提交的2个高危破绽:
CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统随便文件读取;
CVE-2020-17518:通过组织恶意的http header,可实现远程文件写入。
破绽形貌
Flink焦点是一个流式的数据流执行引擎,其针对数据流的漫衍式盘算提供了数据漫衍、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和随便文件写入破绽,风险较大,阿里云应急响应中央提醒 Flink 用户尽快接纳平安措施阻止破绽攻击。
破绽评级
CVE-2020-175198 高危
CVE-2020-17519 高危
影响局限
Apache Flink 1.5.1 ~ 1.11.2
,,欢迎进入AllbetAPP下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。
平安版本
Apache Flink 1.12.0 1.11.3
平安建议
升级至平安版本或将Apache Flink克制开放到互联网。
阿里云云平安中央应急破绽模块已支持对该破绽一键检测
阿里云云防火墙已可防御此破绽攻击
阿里云WAF已可防御此破绽攻击
我们会关注后续希望,请随时关注官方通告。
阿里云云盾应急响应中央
2018.10.16
usdt跑分网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt无需实名交易(www.caibao.it):【破绽预警】Apache Flink 高危破绽预警(CVE-2020-17518/CVE-2020-17519)
女主失忆后男主假装是她男友,女主得知上当后很生气把男主关在门外,而且计划洗把脸来苏醒一下,效果baby就只用手轻轻擦了下脸,生怕弄花了自己的妆。本来是很悲痛欲绝的场景,一下子就让人相当出戏。考这个我能得100