La vulnérabilité identifiée correspond à CVE-2020-17519, affectant le composant Apache Flink JobManager dans les versions 1.11.0 à 1.11.2. Cette vulnérabilité permet une traversée de répertoires non authentifiée via l’interface REST du JobManager, rendant possible la lecture de fichiers locaux accessibles par le processus JobManager.
Le niveau de risque réel est modéré à élevé, car cette vulnérabilité permet à un attaquant distant, sans authentification, de lire des fichiers arbitraires sur le système, tels que des fichiers de configuration ou des informations sensibles (ex. /etc/passwd). Bien que l’accès soit limité aux droits du processus JobManager, les informations exposées peuvent faciliter des attaques ultérieures ou révéler des données sensibles.
Cette vulnérabilité apparaît lorsque des instances Apache Flink vulnérables sont exposées sur le réseau sans restriction suffisante. Elle concerne une régression introduite dans la branche 1.11, corrigée officiellement dans les versions ultérieures. L’exposition directe de l’interface REST du JobManager n’est pas conforme aux bonnes pratiques de sécurité.
Les bonnes pratiques recommandées consistent à mettre à jour Apache Flink vers une version corrigée (≥ 1.11.3 ou 1.12.0), ou, à défaut, à restreindre strictement l’accès réseau à l’interface REST du JobManager (filtrage IP, accès interne uniquement, pare-feu). Il est également recommandé de ne pas exposer les services d’administration Flink sur des réseaux non maîtrisés, de segmenter le réseau, et de surveiller les accès et journaux du JobManager afin de détecter toute tentative anormale.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette vulnérabilité, de prévenir la divulgation de fichiers sensibles, et d’améliorer significativement la sécurité de la plateforme Flink, sans impact fonctionnel lorsque l’accès est correctement maîtrisé.