登录  免费注册
当前位置:首页 > 漏洞详细信息

Apache Flink任意Jar包上传导致远程代码执行漏洞

 关注(0)  
CNVD-ID CNVD-2019-40563
公开日期 2019-11-14
危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
影响产品 Apache Flink 1.9.1
漏洞描述 Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。

Apache Flink任意Jar包上传导致远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包,利用Metasploit在Apache Flink服务器中执行任意代码。
漏洞类型 通用型漏洞
参考链接 https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=265024077
7&idx=1&sn=6677a8696e9e596de5e2df04bf7c584b
https://www.seebug.org/vuldb/ssvid-98101
https://www.zoomeye.org/searchResult?q=%22Apache%20Flink%20Web
%20Dashboard%22
漏洞解决方案 目前官方尚未发布安全更新以及解决方法,建议用户关注Apache Flink官网,获取最新补丁:
https://flink.apache.org/downloads.html
厂商补丁 (无补丁信息)
验证信息 (暂无验证信息)
报送时间 2019-11-14
收录时间 2019-11-14
更新时间 2019-11-15
漏洞附件 附件暂不公开
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论