Apache Flink 漏洞列表

Apache Flink 1.5.1 is vulnerable to local file inclusion because of a REST handler that allows file uploads to an arbitrary location on the local file system through a maliciously modified HTTP HEADER. app="APACHE-Flink"

Apache Flink 1.5.1 is vulnerable to local file inclusion because of a REST handler that allows file uploads to an arbitrary location on the local file system through a maliciously modified HTTP HEADER.

Apache Flink 1.11.0 (and released in 1.11.1 and 1.11.2 as well) allows attackers to read any file on the local filesystem of the JobManager through the REST interface of the JobManager process (aka local file inclusion).

Log4j2是Apache的一个开源项目，该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断，如果内容中包含了${，则Log4j会认为此字符属于JNDI远程加载类的地址。ApacheFlink 使用了该项目进行记录日志，攻击者通过构造恶意的代码即可利用该漏洞，从而导致服务器权限丢失

【漏洞对象】Apache Flink 【涉及版本】Flink1.5.1-1.11.2 \【漏洞描述】ApacheFlink是一个开源的流处理框架，具有强大的流处理和批处理功能。Flink 1.5.1版本中引入了RESTAPI，该漏洞允许攻击者通过构造恶意的HTTP header，将上传的文件写入到本地文件系统上的任意位置。

【漏洞对象】Apache Flink 【涉及版本】Flink部分版本（1.11.0, 1.11.1, 1.11.2） \【漏洞描述】ApacheFlink是一个开源的流处理框架，具有强大的流处理和批处理功能。Apache Flink1.11.0（以及1.11.1和1.11.2中发布的）中引入的更改允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统中的任何文件。