发布日期：2019-07-11
更新日期：2019-07-11

受影响系统：

Apache Heron 0.17.8
Apache Heron 0.13

不受影响系统：

Apache Heron 0.20

描述：

---

BUGTRAQ  ID: 107430
CVE(CAN) ID: CVE-2018-11789

Apache Incubator Heron是是美国Apache软件基金会的一款分布式、具有容错功能的实时流处理引擎。
Apache Incubator Heron中存在目录遍历漏洞，该漏洞源于访问Heron UI网页时，用户可以修改当前容器外部的文件路径以访问主机上的任何文件。远程攻击者可通过发送带有‘../’目录遍历序列的特制请求利用该漏洞在应用程序上下文中检索受影响系统的任意文件。

<*来源：Stormeye.io的Windham Wong
  
  链接：https://seclists.org/oss-sec/2019/q1/170
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2018-11789）以及相应补丁:
CVE-2018-11789：[CVE-2018-11789] Apache Incubator Heron file access vulnerability
链接：https://seclists.org/oss-sec/2019/q1/170

补丁下载：

浏览次数：1535
严重程度：0（网友投票）