CNVD-ID | CNVD-2019-40563 |
公开日期 | 2019-11-14 |
危害级别 | 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) |
影响产品 |
Apache Flink 1.9.1 |
漏洞描述 |
Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。 Apache Flink任意Jar包上传导致远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包,利用Metasploit在Apache Flink服务器中执行任意代码。 |
漏洞类型 | 通用型漏洞 |
参考链接 |
https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=265024077
7&idx=1&sn=6677a8696e9e596de5e2df04bf7c584b https://www.seebug.org/vuldb/ssvid-98101 https://www.zoomeye.org/searchResult?q=%22Apache%20Flink%20Web %20Dashboard%22 |
漏洞解决方案 |
目前官方尚未发布安全更新以及解决方法,建议用户关注Apache Flink官网,获取最新补丁:
https://flink.apache.org/downloads.html |
厂商补丁 | (无补丁信息) |
验证信息 | (暂无验证信息) |
报送时间 | 2019-11-14 |
收录时间 | 2019-11-14 |
更新时间 | 2019-11-15 |
漏洞附件 | 附件暂不公开 |
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。 |