【安全通报】Apache Flink两个高危漏洞(CVE-2020-17518&CVE-2020-17519)

花屋敷  1450天前

image-20210106113846191.png

Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。

近日,Apache Flink官方发布安全更新,漏洞编号为CVE-2020-17519和CVE-2020-17518。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞。CVE-2020-17519:攻击者可通过REST API使用../跳目录实现系统任意文件读取;CVE-2020-17518:通过构造恶意的http header,可实现远程文件写入。

CVE 编号

CVE-2020-17518
CVE-2020-17519

影响范围

  • Apache Flink 1.5.1 ~ 1.11.2

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="APACHE-Flink")共有 1,936 个相关服务对外开放。中国使用数量最多,共有 1,503 个;美国第二,共有 216 个;新加坡第三,共有 34 个;德国第四,共有 25 个;日本第五,共有 25 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210106112930637.png

中国大陆地区浙江使用数量最多,共有 258 个;北京第二,共有 153 个;广东第三,共有 24 个,上海第四,共有 14 个;山东第五,共有 11 个。

image-20210106113052389.png

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Flink 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/flink-cve_2020_17518:latest docker run -d -P vulfocus/flink-cve_2020_17518

docker pull vulfocus/flink-cve_2020_17519:latest docker run -d -P vulfocus/flink-cve_2020_17519

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。

image.png

漏洞POC

目前 FOFA 客户端平台已经更新检测POC。

CVE-2020-17519:

image-20210106115454405.png

CVE-2020-17518:

image-20210106120318030.png

修复建议

  1. 临时修复建议:若业务环境允许,使用白名单限制相关web项目的访问来降低风险。

  2. 官方已发布安全版本,请及时下载升级至安全版本。

    下载链接:https://flink.apache.org/zh/downloads.html

参考

[1] https://xz.aliyun.com/t/8990

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论