Flink

Die Schwachstelle betrifft den JobManager von Apache Flink, der zentralen Steuerungskomponente für die Ausführung von Datenverarbeitungs-Jobs. Über die REST-Schnittstelle des JobManager-Prozesses kann ein Angreifer beliebige Dateien aus dem lokalen Dateisystem des Servers auslesen, auf dem der JobManager läuft. Ursache ist eine fehlerhafte Zugriffskontrolle: Eine Änderung am Code öffnete unbeabsichtigt einen Weg, über die Schnittstelle auf Dateien zuzugreifen, die eigentlich nicht herausgegeben werden sollten. Der Zugriff beschränkt sich dabei auf jene Dateien, die der JobManager-Prozess selbst lesen kann – das kann jedoch Konfigurationsdateien, Anmeldedaten oder andere vertrauliche Inhalte umfassen. Besonders gefährdet sind Installationen, deren REST-Schnittstelle aus dem Netzwerk oder Internet erreichbar ist, da der Zugriff über diese exponierte Schnittstelle erfolgt und keine vorherige Anmeldung beschrieben ist.