Flink目录遍历漏洞：如何防范和修复

Flink目录遍历漏洞：后果严重，亟需关注

Apache Flink：大数据界的宠儿

Apache Flink 是流处理领域的佼佼者，以其卓越的性能、超低的延迟和灵活的扩展性而闻名。它广泛应用于各种大数据处理场景，如实时数据分析、流式机器学习和欺诈检测。

漏洞概览：REST API的致命缺陷

然而，在 2021 年 1 月，Flink 官方发布了一则安全更新，披露了两个高危漏洞，其中一个便是目录遍历漏洞 (CVE-2020-17519)。该漏洞利用了 Flink REST API 的设计缺陷，允许攻击者读取任意文件，包括敏感配置信息、代码源文件等等。

漏洞原理：跳出目录的巧妙手段

Flink 1.5.1 引入了 REST API，但其设计存在多处缺陷。攻击者可以通过 REST API 中的 postJob 函数，使用 ".." 跳目录，实现系统任意文件读取。具体而言，在 postJob 函数中，用于创建临时 Jar 文件的 JarFile.createTempFile() 函数允许使用相对路径。攻击者可以利用这一点，将临时 Jar 文件创建在任意目录中。

危害分析：信息泄露、系统失控

Flink 目录遍历漏洞的后果十分严重，它允许攻击者：

• 窃取敏感配置信息： 读取 Flink 集群的配置文件，获取数据库连接信息、密钥信息等敏感信息。
• 泄露代码源文件： 获取 Flink 集群的代码源文件，了解 Flink 集群的实现细节，发现新的漏洞或开发攻击工具。
• 执行任意代码： 通过该漏洞执行任意代码，在 Flink 集群上安装恶意软件、挖矿程序等，对 Flink 集群进行控制或破坏。

修复方法：及时更新，严格限制

为了修复 Flink 目录遍历漏洞，用户需要及时更新 Flink 版本。目前，Flink 官方已发布 1.14.1、1.13.6、1.12.6 和 1.11.7 四个安全更新版本。除了更新版本外，用户还应该：

• 限制 REST API 访问： 使用安全组或防火墙限制对 REST API 的访问，仅允许授权 IP 或网络访问。
• 启用身份认证和授权： 使用用户名/密码或 OAuth 等机制对 REST API 进行身份认证和授权，防止未授权的访问。
• 部署 Web 应用程序防火墙： 过滤恶意请求，防止攻击者利用漏洞发起攻击。

代码示例：限制 REST API 访问

import org.apache.flink.configuration.RestOptions;

// 创建 Flink 配置对象
Configuration config = new Configuration();

// 仅允许来自授权 IP 访问 REST API
config.setString(RestOptions.ADDRESS, "0.0.0.0");
config.setInteger(RestOptions.PORT, 8081);
config.setString(RestOptions.BIND_HOST, "localhost");

// 创建 Flink 集群
FlinkCluster cluster = new FlinkCluster(config);

常见问题解答

• 该漏洞是否会影响所有 Flink 版本？

  • 是的，Flink 1.5.1 及更早版本都受该漏洞影响。

• 为什么这个漏洞这么严重？

  • 该漏洞允许攻击者读取任意文件，包括敏感配置信息、代码源文件。攻击者可以利用这些信息对 Flink 集群进行未授权的访问或破坏。

• 如何检测该漏洞？

  • 可以使用安全扫描工具，例如 OWASP Zap 或 Burp Suite，来检测该漏洞。

• 该漏洞的补救措施是什么？

  • 更新 Flink 到最新版本，并严格限制 REST API 的访问。

• 除了更新 Flink 版本外，还有其他方法可以缓解该漏洞吗？

  • 使用安全组或防火墙限制对 REST API 的访问，启用身份认证和授权，并部署 Web 应用程序防火墙。