Apache Flink官方发布安全更新，修复了2个高危漏洞：CVE-2020-17518和CVE-2020-17519。

本次修复的漏洞影响广泛，风险较高。建议使用了Flink的用户尽快升级至安全版本，避免遭受恶意攻击。

风险等级
高危，之前我们文章介绍过，

漏洞描述
Apache Flink 作为高效和分布式的通用数据处理平台被被广泛应用。

Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞，风险较高。
CVE-2020-17519：攻击者可通过REST API使用../跳目录实现系统任意文件读取；
CVE-2020-17518：通过构造恶意的http header，可实现远程文件写入。

影响版本
Apache Flink 1.5.1-1.11.2

安全版本
Apache Flink 1.12.0
Apache Flink 1.11.3

修复建议
升级至安全版本

参考链接
[1]https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E
[2]https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E