Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。

近日，Apache Flink官方发布安全更新，漏洞编号为CVE-2020-17519和CVE-2020-17518。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞。CVE-2020-17519：攻击者可通过REST API使用../跳目录实现系统任意文件读取；CVE-2020-17518：通过构造恶意的http header，可实现远程文件写入。

CVE 编号

CVE-2020-17518
CVE-2020-17519

影响范围

• Apache Flink 1.5.1 ~ 1.11.2

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="APACHE-Flink"）共有 1,936 个相关服务对外开放。中国使用数量最多，共有 1,503 个；美国第二，共有 216 个；新加坡第三，共有 34 个；德国第四，共有 25 个；日本第五，共有 25 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 258 个；北京第二，共有 153 个；广东第三，共有 24 个，上海第四，共有 14 个；山东第五，共有 11 个。

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Flink 环境，可通过以下命令进行拉取运行：

docker pull vulfocus/flink-cve_2020_17518:latest
docker run -d -P vulfocus/flink-cve_2020_17518
docker pull vulfocus/flink-cve_2020_17519:latest
docker run -d -P vulfocus/flink-cve_2020_17519

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。

漏洞POC

目前 FOFA 客户端平台已经更新检测POC。

CVE-2020-17519：

CVE-2020-17518：

修复建议

1. 临时修复建议：若业务环境允许，使用白名单限制相关web项目的访问来降低风险。

2. 官方已发布安全版本，请及时下载升级至安全版本。

   下载链接：https://flink.apache.org/zh/downloads.html

参考

[1] https://xz.aliyun.com/t/8990

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。