2020-02-02
Apache Software Foundation 发布 2019 年安全报告

2019年1月:Securonix 发布了一份报告,概述了尚未配置身份验证的 Apache Hadoop 实例的攻击数量增加。存在公共漏洞利用和 Metasploit 模块,可以在不受保护的Hadoop YARN系统上执行远程代码执行。

2019年9月:RiskSense 报告重点介绍了勒索软件已知使用的漏洞,其中包括 ASF 项目中的四个漏洞。这四个漏洞在早些年都已修复,并且在任何勒索软件利用它们之前,都具有可用的更新和缓解措施。用户应始终确保他们在使用的任何 ASF 项目中关注安全更新,并为任何远程或严重漏洞确定更新的优先级。

ASF表示,“ Apache Software Foundation 项目高度多样化且独立。它们具有不同的语言,社区,管理和安全模型。但是,每个项目的共同点之一是如何处理报告的安全问题的一致过程” 。并称,“该报告提供了 2019 日历年的指标,显示了从我们收到的 18,000 封电子邮件中整理了 300 多个漏洞报告,从而修复了 100 多个(CVE)问题。”

图:2019 日历年 ASF security email threads 的细分*

2019 年有一些值得讨论的事件;要么是因为它们的严重性和高风险,要么它们是随时可用的漏洞利用,或者是由于媒体的关注。这些包括:

2019年8月:Black Duck Synopsys 团队审查了较旧的 Struts 版本和公告,并在报告的受影响版本中发现了一些差异。Struts 团队会仔细研究他们的发现并在需要时发布更正。如果用户正在运行旧版本,而他们认为这些旧版本实际上不受建议的影响,那么这可能非常重要。但是,那些相同的用户很可能会受到自此之后已解决的其他问题的攻击,因此我们始终建议用户升级到最新版本的 Struts,以确保其版本包含针对所有已发布的安全问题的修复程序。

欧盟委员会 EU-FOSSA 2 项目赞助了漏洞赏金计划,供用户在 Apache Kafka 和 Apache Tomcat 中发现安全问题。Apache Kafka 中未解决任何问题。Apache Tomcat 中修复了两个问题:CVE-2019-0232(严重性,影响 Windows 平台,提供包括 Metasploit 模块的公共漏洞利用)和CVE-2019-0221(低严重性)。除了提供漏洞赏金外,EU-FOSSA 2 还于 2019 年 6 月赞助了一次成功的黑客马拉松。

据介绍,该报告探讨了 2019 日历年所有 Apache Software Foundation 项目的安全状态。回顾了关键指标,特定漏洞以及 ASF 项目用户受安全问题影响的最常见方式。

2019年4月:Apache Axis 的较早版本中的一个漏洞,该漏洞分析了从过期域中不安全地检索的文件,从而允许远程执行代码(CVE-2019-0227)。

一年来,Apache Solr 中存在许多漏洞,这些漏洞可能允许远程执行代码。存在针对某些问题的公共漏洞利用以及 Metasploit 模块。

2019年6月:Jonathan Leitschuh 发现大量 Java 构建依赖项通过不安全的路径(即 HTTP 而非 HTTPS)下载后,与我们联系。我们并未将这些漏洞本身归类为安全漏洞,因为利用它们会在构建时需要 MITM 攻击。我们与 ASF 项目(包括报告者确定的项目)合作,以确保我们使用安全的 URL。现在,到 2020 年,许多存储库都需要安全 URL。

2019年12月:Apache Olingo 中的一个漏洞允许 XML 外部实体(XXE)攻击(CVE-2019-17554)。例如,可以使用此问题从服务器检索任意文件。存在一个针对此问题的公共利用示例。

2019年8月:Netflix 发现了许多拒绝服务漏洞,这些漏洞影响了各种 HTTP/ 2实现。对包含 HTTP/ 2 实现的 ASF 项目进行了调查并分析了所报告的问题。Apache HTTP Server 和 Apache TrafficServer 均发布了更新,以解决影响它们的拒绝服务问题。Apache Tomcat 还对 HTTP/ 2 处理进行了性能改进,但是这些问题并未归类为拒绝服务。

官方表示,在 2019 年,其安全地址总共收到 18,000 多封电子邮件。经过垃圾邮件过滤和线程分组后,共有 620 个 non-spam threads 。其中,620 个中的138 个(占 22%)是被 Apache 许可证混淆的人们;162 个(26%)既不是垃圾邮件,也不是新漏洞的报告,这些人通常是在询问支持类型的问题或如何处理旧漏洞。

值得注意的事件

2019年4月:Apache HTTP Server 2.4(CVE-2019-0211)中的漏洞 有权在 Web 服务器上编写脚本的用户可以将那些特权提升为 root。此问题有一个公共漏洞利用。