ClickCease Alerte CISA : Mise à jour urgente nécessaire pour la vulnérabilité d'Apache Flink

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Alerte CISA : Mise à jour urgente nécessaire pour la vulnérabilité d'Apache Flink

par Rohan Timalsina

Le 5 juin 2024 - L'équipe d'experts de TuxCare

Attention aux utilisateurs d'Apache Flink ! L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a récemment ajouté une vulnérabilité d'Apache Flink à son catalogue de vulnérabilités connues et exploitées, en mettant en évidence les preuves de son exploitation active. Apache Flink est un framework open-source populaire pour le traitement de grands flux de données. Il est largement utilisé dans les applications d'analyse des big data et les applications en temps réel. Cependant, comme tout logiciel, il n'est pas à l'abri des failles de sécurité.

 

Qu'est-ce que la vulnérabilité d'Apache Flink ?

 

Suivi sous le nom de CVE-2020-17519, ce problème est une vulnérabilité de contrôle d'accès incorrect qui affecte Apache Flink versions 1.11.0, 1.11.1, et 1.11.2. Elle permet à un attaquant de lire n'importe quel fichier sur le système de fichiers local du JobManager à travers son interface REST. De plus, un attaquant distant non authentifié peut exploiter cette faille en envoyant une requête de traversée de répertoire spécialement conçue pour obtenir un accès non autorisé à des informations sensibles.

Une vulnérabilité liée à un contrôle d'accès inapproprié se produit lorsqu'un système ou une application ne limite pas de manière adéquate l'accès à ses ressources. Cela signifie que des utilisateurs non autorisés peuvent accéder à des données ou effectuer des actions qu'ils ne devraient pas avoir le droit d'utiliser. Ces vulnérabilités peuvent conduire à des actions non autorisées telles que la visualisation, la modification ou la suppression d'informations sensibles, et peuvent compromettre de manière significative la sécurité d'une application ou d'un système.

 

Atténuation et recommandations

 

La vulnérabilité a été corrigée en janvier 2021 avec la publication des versions 1.11.3 et 1.12.0 d'Apache Flink. Les utilisateurs des versions affectées sont fortement encouragés à mettre à jour vers ces versions ou des versions ultérieures afin de réduire le risque associé à CVE-2020-17519.

Pour les agences fédérales du pouvoir exécutif civil (FCEB), la CISA a fixé au 13 juin 2024 la date limite pour remédier à cette vulnérabilité. Cette directive s'aligne sur la Binding Operational Directive (BOD) 22-01, qui exige que les agences fédérales corrigent toutes les vulnérabilités figurant dans le catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog). Cependant, il s'agit d'un problème de sécurité critique et il est fortement conseillé à toutes les organisations utilisant Flink de donner la priorité à l'application des correctifs dès que possible.

 

Conclusion

 

La vulnérabilité d'Apache Flink (CVE-2020-17519) est un rappel critique de l'importance de patcher à temps les failles de sécurité connues. Les organisations qui utilisent Apache Flink devraient immédiatement passer aux versions corrigées. Elles pourront ainsi protéger leurs informations sensibles et réduire leur exposition aux cyberattaques.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Alerte CISA : Mise à jour urgente nécessaire pour la vulnérabilité d'Apache Flink
Nom de l'article
Alerte CISA : Mise à jour urgente nécessaire pour la vulnérabilité d'Apache Flink
Description
Découvrez la vulnérabilité d'Apache Flink, son impact et les mises à jour essentielles pour protéger vos systèmes contre l'exploitation.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !