【漏洞详情】

Flink核心是一个流式的数据流执行引擎，近日，平安云安全中心监测到，Apache官方发布安全公告， Apache Flink存在可利用REST API远程文件读/写漏洞（CVE-2020-17518，CVE-2020-17519）。

CVE-2020-17518：Flink 1.5.1版本引入了REST handler，通过构造恶意的http header，可将任意文件写入到Flink可访问任意目录。

CVE-2020-17519：在Flink 1.11.0-1.11.2版中，攻击者可通过JobManager进程的REST接口读取该进程权限下的任意文件。

【漏洞评级】

高危

【 影响范围】

l  CVE-2020-17518：1.5.1 - 1.11.2

l  CVE-2020-17519：1.11.0, 1.11.1, 1.11.2

【修复建议】

官方已发布安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，将所使用的Flink升级至上述安全版本（Flink 1.11.3或1.12.0）避免安全风险。

【参考链接】

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

特别提醒：升级版本前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年1月6日