【漏洞预警】Apache Flink Web Dashboard 未授权访问致远程命令执行漏洞

 安全公告     |      2019-11-14 11:16:09

2019年11月8日,阿里云云安全中心大数据态势感知系统捕获Apache Flink Web Dashboard未授权访问命令执行攻击0day漏洞,攻击者利用该漏洞可以直接获取服务器权限。


漏洞描述

由于Apache Flink Dashboard默认没有用户权限认证。黑客通过未授权的Flink Dashboard控制台,直接上传木马jar包,可远程执行任意系统命令获取服务器权限,风险极大。目前阿里云应急响应中心已提交漏洞详情至CNVD,阿里云应急响应中心提醒Flink用户尽快采取安全措施阻止恶意攻击。


影响版本

全版本


安全建议

1. 请关注Apache Flink官方以便获取更新信息:https://flink.apache.org/

2. 禁止Dashboard对外访问,或者确保只对可信端点开放。


云盾WAF已可防御此漏洞攻击

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应用漏洞模块已支持对该漏洞一键检测



相关链接

https://flink.apache.org/



点我领取阿里云新用户代金券


没有账号立即注册