Apache Flink任意Jar包上传导致远程代码执行漏洞

Apache Flink任意Jar包上传导致远程代码执行漏洞

Apache Flink是由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序，Flink的流水线运行时系统可以执行批处理和流处理程序。此外，Flink的运行时本身也支持迭代算法的执行。

一、漏洞分析

公开日期：2019-11-14

漏洞编号：CNVD-2019-40563

危害等级：高危

漏洞描述：Apache Flink任意Jar包上传导致远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包，利用Metasploit在Apache Flink服务器中执行任意代码。

二、漏洞影响范围

Apache Flink 1.9.1

三、漏洞处置建议

目前官方尚未发布安全更新以及解决方法，建议用户关注Apache Flink官网，获取最新补丁：

https://flink.apache.org/downloads.html