CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)

漏洞概览

  • 漏洞名称:Apache Flink REST API 任意文件读取漏洞
  • CVE编号:CVE-2020-17519
  • CVSS评分:7.5
  • 影响版本:Apache Flink 1.11.0、1.11.1、1.11.2
  • 修复版本:≥ 1.11.3 或 ≥ 1.12.0
  • 漏洞类型:路径遍历(Path Traversal)
  • 根本原因 :JobManager 的 REST 接口未对用户输入路径进行规范化校验,导致通过双重URL编码(%252f)绕过安全防护,实现任意文件读取。

技术背景

  • JobManager :核心管理节点,通过 REST API(默认端口 8081)提供作业控制、日志访问等功能。
  • 漏洞接口/jobmanager/logs/<filename> 用于查看日志文件,但未限制文件名参数的路径穿越风险。

漏洞原理与源码分析

1. 漏洞触发点

类路径org.apache.flink.runtime.rest.handler.cluster.JobManagerCustomLogHandler
方法getFile

java 复制代码
@Override
	protected File getFile(HandlerRequest<EmptyRequestBody, FileMessageParameters> handlerRequest) {
		if (logDir == null) {
			return null;
		}
		String filename = handlerRequest.getPathParameter(LogFileNamePathParameter.class);
		return new File(logDir, filename);// 直接拼接用户输入的filename [漏洞点]  
}  
	}

问题分析

  • logDir 是日志目录(如 /opt/flink/log),但 filename 未做规范化处理。
  • 攻击者注入 ../ 序列可跳转至系统任意路径(如 ../../etc/passwd)。
2. 双重编码绕过机制

攻击载荷示例:

http 复制代码
GET /jobmanager/logs/..%252f..%252fetc%252fpasswd HTTP/1.1  

绕过流程

  1. 首次解码 (容器层):%252f%2f(保留编码形式)。
  2. 二次解码 (Flink路由层):%2f/,生成有效路径 ../../etc/passwd
3. 路由处理缺陷
  • 类路径org.apache.flink.runtime.webmonitor.handlers.Router
  • 问题:路由解析时未校验路径标准化结果,直接传递用户输入至文件系统接口。

漏洞复现与影响

复现步骤

环境搭建
1.使用 Vulhub 环境启动漏洞靶机
bash 复制代码
 docker-compose up -d 
2.访问访问 http://target:8081,确认服务正常运行
攻击步骤
通过以下 URL 可以读取服务器上的 /etc/passwd 文件内容:
复制代码
http://your-ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

实际影响

攻击类型 利用场景 危害示例
敏感信息泄露 读取 /etc/passwd~/.ssh/id_rsa 系统用户枚举、SSH密钥窃取
配置文件窃取 读取数据库凭证(application.properties 数据库未授权访问
云环境横向渗透 读取 Kubernetes 服务账户令牌 集群权限提升

修复方案

1. 官方补丁(≥1.11.3)

修复代码

java 复制代码
// 路径规范化 + 边界校验  
Path requestedFile = rootPath.resolve(filename).normalize();  
if (!requestedFile.startsWith(rootPath)) {  
    throw new NotFoundException("File not found");  
}  

修复效果

  • normalize() 消除路径中的 ../ 序列。
  • startsWith() 确保最终路径限制在 logDir 内。

2. 临时缓解措施

  • 网络层隔离 :限制 8081 端口的访问来源(防火墙/NACL)。

  • 反向代理过滤 (Nginx示例):

    nginx 复制代码
    location ~ /logs/ {  
        if ($request_uri ~ "\.\.|%252f") { return 403; }  
    }  
  • 启用认证:配置 Flink Kerberos 或 API 密钥认证。


总结与启示

  • 根本原因输入信任失衡 + 路径规范化缺失

  • 同类漏洞对比

    漏洞 绕过方式 修复核心
    CVE-2020-17519 双重URL编码 先规范化后校验边界
    CVE-2020-17518 文件名路径穿越 剥离路径(getName()
  • 防御铁律

    1. 永不信任用户输入:路径拼接前强制规范化。
    2. 最小权限原则:服务进程以低权限账户运行。
    3. 深度防御:结合代码修复 + 网络层过滤 + 文件监控。

参考链接

  1. CVE-2020-17519 NVD 漏洞详情
  2. 漏洞复现与 PoC 脚本
  3. 官方修复提交记录
相关推荐
大大大大晴天2 小时前
Flink JDBC Connector 深度解析:从原理到最佳实践
flink
SamDeepThinking3 小时前
从源码到代码:MyBatis-Flex 与 MyBatis-Plus 的逐项对比
java·后端·程序员
她的男孩6 小时前
Spring Boot 接 Flowable 工作流:用 3 个注解搭一个请假审批流程
java·后端·架构
荣码8 小时前
LLM结构化输出:让AI返回JSON而不是废话,我踩了4个坑
java·python
plainGeekDev9 小时前
Gson → kotlinx.serialization
android·java·kotlin
小bo波18 小时前
Java Swing 图形用户界面实验 —— 从算术练习到游戏开发的完整实践
java·课程设计·gui·游戏开发·扫雷·swing
咖啡八杯19 小时前
GoF设计模式——备忘录模式
java·后端·spring·设计模式
一条鱼丶1 天前
深入理解 Flink Watermark——流数据处理中的乱序问题解决方案
flink