发布日期：2019-11-15
更新日期：2019-07-31

受影响系统：

Apache Group Flink <= 1.9.1

描述：

---

Apache Flink是开源流处理框架，可用于对流数据进行分布式处理，在大数据领域中应用广泛。

Apache Flink在jar包上传功能实现中存在安全漏洞，此漏洞源于Dashboard在默认状态下无需认证即可访问，如果有攻击者探测到目标存在Apache Flink Dashboard，利用该威胁可未授权上传jar包，上传包含恶意代码的jar包，从而控制目标服务器。

<*来源：anonymous
  *>

建议：

---

临时解决方法：

临时防护建议
目前官方暂未发布针对此威胁的修复方案，相关用户可采取以下临时防护建议进行防护：

禁止对公网开放Flink
在内网中限制对8081端口（Flink Dashboard默认端口）的访问
为Flink的访问增加认证策略

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
https://flink.apache.org/
https://www.apache.org/security/projects.html

浏览次数：1991
严重程度：0（网友投票）