ClickCease Alerta CISA: Se necesita una actualización urgente para la vulnerabilidad de Apache Flink

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta CISA: Se necesita una actualización urgente para la vulnerabilidad de Apache Flink

por Rohan Timalsina

5 de junio de 2024 - Equipo de expertos TuxCare

¡Atención usuarios de Apache Flink! La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido recientemente una vulnerabilidad de Apache Flink a su Catálogo de Vulnerabilidades Explotadas Conocidas, destacando la evidencia de su explotación activa. Apache Flink es un popular marco de código abierto para procesar grandes flujos de datos. Es ampliamente utilizado en análisis de big data y aplicaciones en tiempo real. Sin embargo, como cualquier software, no es inmune a los fallos de seguridad.

 

¿Qué es la vulnerabilidad de Apache Flink?

 

Rastreado como CVE-2020-17519, este problema es una vulnerabilidad de control de acceso incorrecto que afecta a las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink. Permite a un atacante leer cualquier archivo en el sistema de archivos local del JobManager a través de su interfaz REST. Además, un atacante remoto no autenticado puede explotar este fallo enviando una petición de acceso a directorios especialmente diseñada para obtener acceso no autorizado a información sensible.

Una vulnerabilidad de control de acceso inadecuado se produce cuando un sistema o aplicación no restringe adecuadamente el acceso a sus recursos. Esto significa que usuarios no autorizados pueden acceder a datos o realizar acciones para las que no deberían tener permiso. Estas vulnerabilidades pueden conducir a acciones no autorizadas como ver, modificar o borrar información sensible, y pueden comprometer significativamente la seguridad de una aplicación o sistema.

 

Medidas paliativas y recomendaciones

 

La vulnerabilidad se solucionó en enero de 2021 con el lanzamiento de las versiones 1.11.3 y 1.12.0 de Apache Flink. Se recomienda encarecidamente a los usuarios de las versiones afectadas que actualicen a estas versiones o posteriores para mitigar el riesgo asociado a CVE-2020-17519.

Para las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés), la CISA ha establecido como fecha límite el 13 de junio de 2024 para solucionar esta vulnerabilidad. Esta directiva está en consonancia con la directiva operativa vinculante (Binding Operational Directive, BOD) 22-01, que exige a los organismos federales que solucionen cualquier vulnerabilidad del Catálogo de vulnerabilidades explotadas conocidas (Known Exploited Vulnerabilities Catalog). No obstante, se trata de un problema de seguridad crítico, por lo que se recomienda encarecidamente a todas las organizaciones que utilicen Flink que den prioridad a la aplicación de parches lo antes posible.

 

Conclusión

 

La vulnerabilidad de Apache Flink (CVE-2020-17519) sirve como recordatorio crítico de la importancia de parchear a tiempo los fallos de seguridad conocidos. Las organizaciones que utilizan Apache Flink deberían actualizar inmediatamente a las versiones corregidas. De este modo, podrán salvaguardar la información confidencial y reducir su exposición a ciberataques.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
Alerta CISA: Se necesita una actualización urgente para la vulnerabilidad de Apache Flink
Nombre del artículo
Alerta CISA: Se necesita una actualización urgente para la vulnerabilidad de Apache Flink
Descripción
Conozca la vulnerabilidad de Apache Flink, su impacto y las actualizaciones esenciales necesarias para proteger sus sistemas de la explotación.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.