2020年1月5日,Apache Flink官方公布平安更新,修复了由蚂蚁平安非攻实验室发现提交的2个高危破绽:

  • CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统随便文件读取;

  • CVE-2020-17518:通过组织恶意的http header,可实现远程文件写入。

破绽形貌

Flink焦点是一个流式的数据流执行引擎,其针对数据流的漫衍式盘算提供了数据漫衍、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和随便文件写入破绽,风险较大,阿里云应急响应中央提醒 Flink 用户尽快接纳平安措施阻止破绽攻击。

破绽评级

CVE-2020-175198 高危

CVE-2020-17519 高危

影响局限

Apache Flink 1.5.1 ~ 1.11.2

,

AllbetAPP下载

欢迎进入AllbetAPP下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

平安版本

Apache Flink 1.12.0 1.11.3

平安建议

升级至平安版本或将Apache Flink克制开放到互联网

阿里云云平安中央应急破绽模块已支持对该破绽一键检测

阿里云云防火墙已可防御此破绽攻击
阿里云WAF已可防御此破绽攻击

我们会关注后续希望,请随时关注官方通告。

若有任何问题,可随时通过工单或服务电话95187联系反馈。


阿里云云盾应急响应中央

2018.10.16

usdt跑分网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt无需实名交易(www.caibao.it):【破绽预警】Apache Flink 高危破绽预警(CVE-2020-17518/CVE-2020-17519)
发布评论

分享到:

usdt不用实名(www.caibao.it):上映了11天,票房4.5亿, 郭敬明[的《晴雅集》终于被下架!
1 条回复
  1. Allbet电脑版下载
    Allbet电脑版下载
    (2021-01-11 00:15:37) 1#

    女主失忆后男主假装是她男友,女主得知上当后很生气把男主关在门外,而且计划洗把脸来苏醒一下,效果baby就只用手轻轻擦了下脸,生怕弄花了自己的妆。本来是很悲痛欲绝的场景,一下子就让人相当出戏。考这个我能得100

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。