flink 1.14.2版本被检出rce漏洞,请问官方有修复方案吗?这个社区是升级版本还是有别的方案
flink 1.14.2版本被检出rce漏洞,请问官方有修复方案吗?这个社区是升级版本还是有别的方案?社区搜了没发现具体答案,实在不行我只能用防火墙限制了
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
-
是的,Flink 1.14.2 版本存在一个 RCE(远程代码执行)漏洞(CVE-2021-44228)。官方已经发布了补丁版本 Flink 1.14.3 来修复该漏洞。建议您尽快升级到最新的 Flink 1.14.3 版本以解决这个问题。
社区一般会推荐升级到修复漏洞的最新版本。升级到 Flink 1.14.3 版本可以解决这个 RCE 漏洞。如果您无法立即升级或需要暂时规避漏洞影响,您可以考虑禁用 Flink 的 REST API,这是一个临时的解决方案。具体操作细节可以参考 Flink 的官方文档。
需要注意的是,开源社区一般只维护最新的几个大版本,并且 Flink 社区已经在开发 1.18 版本。因此,为了获得更好的安全性和稳定性,建议尽快升级到最新版本。
2023-07-30 11:13:16赞同 展开评论 -
北京阿里云ACE会长
是的,Flink 1.14.2 版本存在一个 RCE 漏洞(CVE-2021-44228),攻击者可以利用该漏洞在服务器上执行任意代码。该漏洞是由于 Flink 的 REST API 在处理请求时未正确地验证请求的内容类型所导致的。
针对该漏洞,Flink 官方已经发布了补丁版本 Flink 1.14.3,修复了该漏洞。同时,Flink 社区也发布了一些临时的解决方案,可以帮助用户暂时规避该漏洞的影响。下面是一些可能的解决方案:
升级到 Flink 1.14.3 版本
Flink 1.14.3 版本已经修复了该漏洞。如果您正在使用 Flink 1.14.2 版本,请尽快升级到 Flink 1.14.3 版本。升级操作可以参考 Flink 的官方文档。
禁用 Flink 的 REST API
该漏洞是由于 Flink 的 REST API 在处理请求时未正确地验证请求的内容类型所导致的。因此,禁用 Flink 的 REST API 可以帮助您规避该漏洞的影响。具体操作可以参考 Flink 的官方文档。
需要注意的是,以上2023-07-30 10:05:37赞同 展开评论 -
有漏洞是社区升级版本,可以看下新版本是不是解决了,如果解决了直接升级下,1.14应该不会特意发小版本了,一般开源社区只维护最新的2、3个大版本,flink社区已经在开发1.18了,此回答整理自钉群“Flink CDC 社区”
2023-07-02 17:23:31赞同 展开评论
实时计算Flink版是阿里云提供的全托管Serverless Flink云服务,基于 Apache Flink 构建的企业级、高性能实时大数据处理系统。提供全托管版 Flink 集群和引擎,提高作业开发运维效率。