主頁 > 知識庫 > Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題(漏洞預(yù)警)

Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題(漏洞預(yù)警)

熱門標(biāo)簽:大連電銷外呼系統(tǒng)運營商 接電話機器人罵人 泰州智能外呼系統(tǒng)排名 代理外呼系統(tǒng)創(chuàng)業(yè) 外呼系統(tǒng)虛擬號碼 400電話申請知乎 長春電銷外呼系統(tǒng)代理商 百度地圖標(biāo)注尺寸無法顯示 400電話干嘛怎么申請信用卡

漏洞描述

Apache Flink是一個用于分布式流和批處理數(shù)據(jù)的開放源碼平臺。Flink的核心是一個流數(shù)據(jù)流引擎,它為數(shù)據(jù)流上的分布式計算提供數(shù)據(jù)分發(fā)、通信和容錯功能。Flink在流引擎之上構(gòu)建批處理,覆蓋本地迭代支持、托管內(nèi)存和程序優(yōu)化。近日有安全研究人員發(fā)現(xiàn)apache flink允許上傳任意的jar包從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

漏洞級別

高危

影響范圍

Apache Flink <=1.9.1

漏洞復(fù)現(xiàn)

首先下載Apache Flink 1.9.1安裝包并進(jìn)行解壓,之后進(jìn)入bin文件夾內(nèi)運行./start-cluster.sh啟動環(huán)境,瀏覽器訪問http://ip:8081驗證是否成功,如下圖所示:

接著使用生成jar的木馬文件并進(jìn)行上傳,如下圖所示:

開啟msf進(jìn)行監(jiān)聽并點擊提交,可看到成功返回一個shell。如下圖所示:

修復(fù)建議

建議用戶關(guān)注Apache Flink官網(wǎng),及時獲取該漏洞最新補丁。

臨時解決建議

設(shè)置IP白名單只允許信任的IP訪問控制臺并添加訪問認(rèn)證。

漏洞檢測方法

目前github已有相應(yīng)公開的檢測poc,如下圖所示:

鏈接:https://github.com/LandGrey/flink-unauth-rce

總結(jié)

以上所述是小編給大家介紹的Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持!
如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!

標(biāo)簽:中衛(wèi) 興安盟 大慶 清遠(yuǎn) 安陽 長治 臺灣 雅安

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題(漏洞預(yù)警)》,本文關(guān)鍵詞  Apache,Flink,任意,Jar,包上傳,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題(漏洞預(yù)警)》相關(guān)的同類信息!
  • 本頁收集關(guān)于Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問題(漏洞預(yù)警)的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章