Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现问题(漏洞预警)
更新时间:2019年11月26日 09:59:06 作者:独孤风
这篇文章主要介绍了Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现问题,本文给出了修复建议和解决方案,需要的朋友可以参考下
漏洞描述
Apache Flink是一个用于分布式流和批处理数据的开放源码平台。Flink的核心是一个流数据流引擎,它为数据流上的分布式计算提供数据分发、通信和容错功能。Flink在流引擎之上构建批处理,覆盖本地迭代支持、托管内存和程序优化。近日有安全研究人员发现apache flink允许上传任意的jar包从而导致远程代码执行。
漏洞级别
高危
影响范围
Apache Flink <=1.9.1
漏洞复现
首先下载Apache Flink 1.9.1安装包并进行解压,之后进入bin文件夹内运行./start-cluster.sh启动环境,浏览器访问http://ip:8081验证是否成功,如下图所示:
接着使用生成jar的木马文件并进行上传,如下图所示:
开启msf进行监听并点击提交,可看到成功返回一个shell。如下图所示:
修复建议
建议用户关注Apache Flink官网,及时获取该漏洞最新补丁。
临时解决建议
设置IP白名单只允许信任的IP访问控制台并添加访问认证。
漏洞检测方法
目前github已有相应公开的检测poc,如下图所示:
链接:https://github.com/LandGrey/flink-unauth-rce
总结
以上所述是小编给大家介绍的Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现问题,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
相关文章
CentOS7下安装yum源及上传下载命令rz、sz安装方法(图解)
这篇文章主要介绍了CentOS7下安装yum源及上传下载命令rz、sz安装方法,本文通过图文并茂的形式给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-11-11
为了方便管理一些程序或脚本,可以将这些程序以及脚本都制作在一个deb包中, 本文主要为大家介绍了如何制作一个deb包,有需要的小伙伴可以参考下2024-12-12
这篇文章主要为大家详细介绍了Linux下ZooKeeper分布式集群安装教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-12-12
MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。这篇文章主要介绍了linux下安装mongodb,需要的朋友可以参考下2019-12-12
这篇文章主要给大家介绍了关于在centos 7中添加一个新用户并授权的步骤,文中将实现的步骤介绍的非常详细,通过文中介绍的步骤可以轻松的创建一个新用户并授权,需要的朋友可以参考借鉴,下面来一起看看吧。2017-08-08
这篇文章主要介绍了如何使用 Apache 设置反向代理,该模块使用ProxyApache 配置文件中的 -prefixed 指令进行配置。我们接下来会设置这些,需要的朋友可以参考下2022-01-01
本文主要介绍了apache虚拟主机配置的三种方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2022-07-07
智能DNS可以说是CDN的基础。相信平时大家做网站都会有下面的情况:首页上放两个链接,电信用户请访问主力站点A,网通用户请访问镜像站点B2013-04-04
Linux如何修改hosts文件并刷新DNS生效hosts文件
这篇文章主要介绍了Linux如何修改hosts文件并刷新DNS生效hosts文件问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-07-07
这篇文章主要介绍了Linux在丢失的情况下重置密码,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-10-10
最新评论