2021年1月5日，Apache Flink官方发布安全更新，修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞：

• CVE-2020-17519：攻击者可通过REST API使用../跳目录实现系统任意文件读取；

• CVE-2020-17518：通过构造恶意的http header，可实现远程文件写入。

漏洞描述

Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞，风险较大，阿里云应急响应中心提醒 Flink 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2020-17518 高危

CVE-2020-17519 高危

影响范围

Apache Flink 1.5.1 ~ 1.11.2

安全版本

Apache Flink 1.12.0 1.11.3

安全建议

升级至安全版本或将Apache Flink禁止开放到互联网。

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

阿里云云防火墙已可防御此漏洞攻击
阿里云WAF已可防御此漏洞攻击

相关链接

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心

2021.01.05