开发者社区 > 大数据与机器学习 > 实时计算 Flink > 正文

Apache Flink未授权访问上传导致的RCE漏洞,这个漏洞目前方案解决吗?

Apache Flink未授权访问上传导致的RCE漏洞,这个漏洞目前方案解决吗?

展开
收起
夹心789 2024-06-04 09:08:57 742 0
5 条回答
写回答
取消 提交回答
  • image.png
    针对Apache Flink Web Dashboard存在的未授权访问致远程命令执行(RCE)漏洞,用户应采取以下措施进行安全自查与防护

    1. 立即更新: 确保使用的Apache Flink版本已经包含了该漏洞的安全修复。持续关注Apache Flink的官方发布,及时应用安全更新和补丁。

    2. 访问控制: 实施严格的网络访问控制策略,仅允许信任的源访问Flink Web Dashboard端口,避免暴露于公网或不受控网络环境。

    3. 安全自查: 定期进行安全审计,检查是否有未授权访问的迹象,以及监控是否有异常的日志记录或网络活动。

    4. 配置验证: 确认Flink的配置遵循最佳安全实践,包括但不限于使用HTTPS加密Web Dashboard通信,以及配置适当的认证机制。

    通过上述措施,可以有效缓解或防止因未授权访问而导致的安全风险。务必重视并尽快采取行动,以保护您的系统免受潜在威胁。

    2024-08-03 17:06:19
    赞同 展开评论 打赏
  • 针对Apache Flink Web Dashboard存在的未授权访问致远程命令执行漏洞,目前已经解决适用客户
    使用 Apache Flink 的用户
    新增功能/规格
    攻击者可以利用 Apache Flink Web Dashboard 未授权访问致远程命令执行漏洞实现内网渗透和敏感信息获取。请使用 Apache Flink 的用户进行安全自查。

    2024-07-27 17:04:43
    赞同 展开评论 打赏
  • Apache Flink的未授权访问上传导致的RCE漏洞,阿里云实时计算Flink版会及时关注并跟进Apache Flink的官方安全更新。一旦官方提供了修复措施,阿里云会尽快对服务进行升级和安全加固,以保障用户的数据安全。建议您保持订阅阿里云的安全公告和更新通知,及时获取并应用安全补丁。同时确保您的实例配置了合适的访问控制策略,限制不必要的网络访问。

    2024-07-26 11:44:01
    赞同 展开评论 打赏
  • 阿里云大降价~

    你更新到最新版本试试,一般新版本就解决了

    另外阿里云的漏洞扫码产品可以看看,可以检测的
    image.png

    文档

    2024-07-24 18:33:05
    赞同 展开评论 打赏
  • 漏洞描述
    攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。
    image.png

    修复建议:
    根据业务/系统具体情况,结合如下建议做出具体选择:

    • 配置访问控制规则
    • 修改默认端口
    • 添加密码验证
    • 最小化权限运行
    • 备份数据

    修复方案:

    用 Nginx 搞个简单的用户密码登录插件配置,给Flink Web Dashboard 加上登录认证,然后在 flink-conf.yaml 中配置关闭 submit jar 功能菜单的显示;更安全的办法是添加 Kerberos 安全认证。

    ——参考链接

    2024-07-23 10:42:27
    赞同 1 展开评论 打赏

实时计算Flink版是阿里云提供的全托管Serverless Flink云服务,基于 Apache Flink 构建的企业级、高性能实时大数据处理系统。提供全托管版 Flink 集群和引擎,提高作业开发运维效率。

相关产品

  • 实时计算 Flink版
  • 热门讨论

    热门文章

    相关电子书

    更多
    Flink CDC Meetup PPT - 龚中强 立即下载
    Flink CDC Meetup PPT - 王赫 立即下载
    Flink CDC Meetup PPT - 覃立辉 立即下载

    相关镜像