Apache Flink 目录遍历漏洞修复方法 CVE-2020-17518漏洞修复方法和CVE-2020-17519漏洞修复方法

CVE-2020-17518漏洞和CVE-2020-17519漏洞发布时间

发布时间 2021-01-06

更新时间 2021-01-06

漏洞等级 High,推荐对这类VPS资源感兴趣的同学看看这些文章，

CVE编号 CVE-2020-17518

漏洞详情

Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告，远程攻击者通过REST API目录遍历，可造成文件读取/写入的影响。

CVE-2020-17518: 文件写入漏洞。攻击者利用REST API，可以修改HTTP头，将上传的文件写入到本地文件系统上的任意位置（Flink 1.5.1进程能访问到的）。

CVE-2020-17519: 文件读取漏洞。Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件（JobManager进程能访问到的） 。

影响范围

CVE-2020-17519

Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2

CVE-2020-17519

Apache:Apache Flink: 1.5.1 - 1.11.2，之前我们文章介绍过，

CVE-2020-17518漏洞修复方法和CVE-2020-17519漏洞修复方法

注意：安装升级前，请做好数据备份、快照和测试工作，防止发生意外

1、将Flink 升级至最新版本：Flink 1.11.3或1.12.0,推荐对这类VPS资源感兴趣的同学看看这些文章，

2、使用UCloud web应用防火墙进行安全防护；，vps内容介绍的还不够详细？看看这个文章怎么说的：

参考链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E，对此内容感兴趣的同学，还可以看看这个文章：

 ，想了解更多可以看看，这几篇文章，例如：