據(jù)介紹,該報(bào)告探討了 2019 日歷年所有 Apache Software Foundation 項(xiàng)目的安全狀態(tài)?;仡櫫岁P(guān)鍵指標(biāo),特定漏洞以及 ASF 項(xiàng)目用戶受安全問題影響的最常見方式。
官方表示,在 2019 年,其安全地址總共收到 18,000 多封電子郵件。經(jīng)過垃圾郵件過濾和線程分組后,共有 620 個(gè) non-spam threads 。其中,620 個(gè)中的138 個(gè)(占 22%)是被 Apache 許可證混淆的人們;162 個(gè)(26%)既不是垃圾郵件,也不是新漏洞的報(bào)告,這些人通常是在詢問支持類型的問題或如何處理舊漏洞。
圖:2019 日歷年 ASF security email threads 的細(xì)分*
值得注意的事件
2019 年有一些值得討論的事件;要么是因?yàn)樗鼈兊膰?yán)重性和高風(fēng)險(xiǎn),要么它們是隨時(shí)可用的漏洞利用,或者是由于媒體的關(guān)注。這些包括:
2019年1月:Securonix
發(fā)布了一份報(bào)告,概述了尚未配置身份驗(yàn)證的 Apache Hadoop 實(shí)例的攻擊數(shù)量增加。存在公共漏洞利用和 Metasploit 模塊,可以在不受保護(hù)的Hadoop YARN系統(tǒng)上執(zhí)行遠(yuǎn)程代碼執(zhí)行。
2019年4月:Apache HTTP Server 2.4(
CVE-2019-0211)中的
漏洞 有權(quán)在 Web 服務(wù)器上編寫腳本的用戶可以將那些特權(quán)提升為 root。此問題有一個(gè)公共漏洞利用。
2019年4月:Apache Axis 的較早版本中的一個(gè)漏洞,該漏洞分析了
從過期域中不安全地檢索的
文件,從而允許遠(yuǎn)程執(zhí)行代碼(CVE-2019-0227)。
2019年6月:Jonathan Leitschuh 發(fā)現(xiàn)大量 Java
構(gòu)建依賴項(xiàng)通過不安全的路徑(即 HTTP 而非 HTTPS)
下載后,與我們聯(lián)系。我們并未將這些漏洞本身歸類為安全漏洞,因?yàn)槔盟鼈儠?huì)在構(gòu)建時(shí)需要 MITM 攻擊。我們與 ASF 項(xiàng)目(包括報(bào)告者確定的項(xiàng)目)合作,以確保我們使用安全的 URL?,F(xiàn)在,到 2020 年,許多存儲(chǔ)庫(kù)
都需要安全 URL。
2019年8月:Black Duck Synopsys 團(tuán)隊(duì)審查了較舊的 Struts 版本和公告,并在報(bào)告的受影響版本中發(fā)現(xiàn)了一些差異。Struts 團(tuán)隊(duì)會(huì)仔細(xì)研究他們的發(fā)現(xiàn)并在需要時(shí)
發(fā)布更正。如果用戶正在運(yùn)行舊版本,而他們認(rèn)為這些舊版本實(shí)際上不受建議的影響,那么這可能非常重要。但是,那些相同的用戶很可能會(huì)受到自此之后已解決的其他問題的攻擊,因此我們始終建議用戶升級(jí)到最新版本的 Struts,以確保其版本包含針對(duì)所有已發(fā)布的安全問題的修復(fù)程序。
2019年8月:Netflix 發(fā)現(xiàn)了許多拒絕服務(wù)漏洞,這些漏洞影響了各種 HTTP/ 2實(shí)現(xiàn)。對(duì)包含 HTTP/ 2 實(shí)現(xiàn)的 ASF 項(xiàng)目進(jìn)行了調(diào)查并分析了所報(bào)告的問題。Apache HTTP Server 和 Apache TrafficServer 均
發(fā)布了更新,以解決影響它們的拒絕服務(wù)問題。Apache Tomcat 還對(duì) HTTP/ 2 處理進(jìn)行了性能改進(jìn),但是這些問題
并未歸類為拒絕服務(wù)。
2019年9月:
RiskSense 報(bào)告重點(diǎn)介紹了
勒索軟件已知使用的漏洞,其中包括 ASF 項(xiàng)目中的四個(gè)漏洞。這四個(gè)漏洞在早些年都已修復(fù),并且在任何勒索軟件利用它們之前,都具有可用的更新和緩解措施。用戶應(yīng)始終確保他們?cè)谑褂玫娜魏?ASF 項(xiàng)目中關(guān)注安全更新,并為任何遠(yuǎn)程或嚴(yán)重漏洞確定更新的優(yōu)先級(jí)。
2019年12月:Apache Olingo 中的一個(gè)漏洞允許 XML 外部實(shí)體(XXE)攻擊(
CVE-2019-17554)。例如,可以使用此問題從服務(wù)器檢索任意文件。存在一個(gè)針對(duì)此問題的公共利用示例。
一年來,Apache Solr 中存在許多漏洞,這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。存在針對(duì)某些問題的公共漏洞利用以及 Metasploit 模塊。
歐盟委員會(huì) EU-FOSSA 2 項(xiàng)目贊助了漏洞賞金計(jì)劃,供用戶在 Apache Kafka 和 Apache Tomcat 中發(fā)現(xiàn)安全問題。Apache Kafka 中未解決任何問題。Apache Tomcat 中修復(fù)了兩個(gè)問題:
CVE-2019-0232(嚴(yán)重性,影響
Windows 平臺(tái),提供包括 Metasploit 模塊的公共漏洞利用)和
CVE-2019-0221(低嚴(yán)重性)。除了提供漏洞賞金外,EU-FOSSA 2 還于 2019 年 6 月
贊助了一次成功的黑客馬拉松。
ASF表示,“ Apache Software Foundation 項(xiàng)目高度多樣化且獨(dú)立。它們具有不同的語(yǔ)言,社區(qū),管理和安全模型。但是,每個(gè)項(xiàng)目的共同點(diǎn)之一是如何處理報(bào)告的安全問題的一致過程” 。并稱,“該報(bào)告提供了 2019 日歷年的指標(biāo),顯示了從我們收到的 18,000 封電子郵件中整理了 300 多個(gè)漏洞報(bào)告,從而修復(fù)了 100 多個(gè)(CVE)問題。”