首頁 -> 安全研究

安全研究

安全漏洞
Apache Flink任意Jar包上傳漏洞

發布日期:2019-11-15
更新日期:2019-11-18

受影響系統:
Apache Group Flink <= 1.9.1
描述:
Apache Flink是開源流處理框架,可用于對流數據進行分布式處理,在大數據領域中應用廣泛。

Apache Flink在jar包上傳功能實現中存在安全漏洞,此漏洞源于Dashboard在默認狀態下無需認證即可訪問,如果有攻擊者探測到目標存在Apache Flink Dashboard,利用該威脅可未授權上傳jar包,上傳包含惡意代碼的jar包,從而控制目標服務器。

<*來源:anonymous
  *>

建議:
臨時解決方法:

臨時防護建議
目前官方暫未發布針對此威脅的修復方案,相關用戶可采取以下臨時防護建議進行防護:

禁止對公網開放Flink
在內網中限制對8081端口(Flink Dashboard默認端口)的訪問
為Flink的訪問增加認證策略

廠商補丁:

Apache Group
------------
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
https://flink.apache.org/
https://www.apache.org/security/projects.html

瀏覽次數:652
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
海南七星彩彩票官网