一、概要

近日，華為云關(guān)注到Apache Flink官方發(fā)布安全公告，披露在特定版本中存在目錄遍歷漏洞（CVE-2020-17518、CVE-2020-17519），攻擊者通過(guò)REST API可以實(shí)現(xiàn)任意文件的讀取和寫(xiě)入。Apache Flink是一款面向數(shù)據(jù)流處理和批量數(shù)據(jù)處理的可分布式的開(kāi)源計(jì)算框架，華為云提醒使用Flink的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

CVE-2020-17518：Flink 1.5.1 - 1.11.2

CVE-2020-17519：Flink 1.11.0、1.11.1、1.11.2

安全版本：

Flink 1.11.3或1.12.0

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)至安全版本。

https://flink.apache.org/zh/downloads.html

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。