近来,国家信息安全缝隙库(CNNVD)收到关于Apache Flink安全缝隙(CNNVD-202101-271、CVE-2020-17519)(CNNVD-202101-273、CVE-2020-17518)状况的报送。成功运用缝隙的进犯者,可在未授权的状况下,结构歹意数据履行恣意文件读取或文件写入进犯,终究获取服务器敏感性信息或权限。Apache Flink 1.5.1 - 1.11.2版别均受此缝隙影响。现在,Apache官方现已发布了版别更新修正了该缝隙,主张用户及时承认产品版别,赶快采纳修补办法。
Apache Flink是美国阿帕奇软件(Apache)基金会的一款开源的分布式流数据处理引擎。该产品首要运用Java和Scala言语编写。
Apache Flink安全缝隙(CNNVD-202101-273、CVE-2020-17518):该缝隙源于一个REST处理程序答应进犯者经过歹意修正的HTTP头将上传的文件写入到本地文件体系上的恣意方位。
成功运用缝隙的进犯者,可在未授权的状况下,结构歹意数据履行恣意文件读取或文件写入进犯,终究获取服务器敏感性信息或权限。受缝隙影响版别如下:
现在,Apache官方现已发布了版别更新修正了该缝隙。主张用户及时承认产品版别,赶快采纳修补办法。Apache官方更新链接如下:
本通报由CNNVD技能支撑单位——深服气科技股份有限公司、北京山石网科信息技能有限公司、内蒙古奥创科技有限公司、北京启明星斗信息安全技能有限公司、北京天融信网络安全技能有限公司、北京华云安信息技能有限公司、北京奇虎科技有限公司、上海斗象信息科技有限公司、浪潮电子信息产业股份有限公司、北京知道创宇信息技能股份有限公司、杭州安恒信息技能股份有限公司、新华三技能有限公司、远江盛邦(北京)网络安全科技股份有限公司、网神信息技能(北京)股份有限公司、北京华顺信安科技有限公司、北京中测安华科技有限公司等技能支撑单位供给支撑。
CNNVD将持续盯梢上述缝隙的相关状况,及时发布有关信息。如有需求,可与CNNVD联络。
