apache software foundation(asf)发布了 2019 年安全报告。根据该报告,2019 年最值得注意的事件包括有对 hadoop instances 的攻击增加,apache http server 2.4 的漏洞以及旧版本的 apache axis 的漏洞。
据介绍,该报告探讨了 2019 日历年所有 apache software foundation 项目的安全状态。回顾了关键指标,特定漏洞以及 asf 项目用户受安全问题影响的最常见方式。
官方表示,在 2019 年,其安全地址总共收到 18,000 多封电子邮件。经过垃圾邮件过滤和线程分组后,共有 620 个 non-spam threads 。其中,620 个中的138 个(占 22%)是被 apache 许可证混淆的人们;162 个(26%)既不是垃圾邮件,也不是新漏洞的报告,这些人通常是在询问支持类型的问题或如何处理旧漏洞。
图:2019 日历年 asf security email threads 的细分*
值得注意的事件
2019 年有一些值得讨论的事件;要么是因为它们的严重性和高风险,要么它们是随时可用的漏洞利用,或者是由于媒体的关注。这些包括:
2019年1月:securonix 发布了一份报告,概述了尚未配置身份验证的 apache hadoop 实例的攻击数量增加。存在公共漏洞利用和 metasploit 模块,可以在不受保护的hadoop yarn系统上执行远程代码执行。
2019年4月:apache http server 2.4(cve-2019-0211)中的漏洞 有权在 web 服务器上编写脚本的用户可以将那些特权提升为 root。此问题有一个公共漏洞利用。
2019年4月:apache axis 的较早版本中的一个漏洞,该漏洞分析了从过期域中不安全地检索的文件,从而允许远程执行代码(cve-2019-0227)。
2019年6月:jonathan leitschuh 发现大量 java 构建依赖项通过不安全的路径(即 http 而非 https)下载后,与我们联系。我们并未将这些漏洞本身归类为安全漏洞,因为利用它们会在构建时需要 mitm 攻击。我们与 asf 项目(包括报告者确定的项目)合作,以确保我们使用安全的 url。现在,到 2020 年,许多存储库都需要安全 url。
2019年8月:black duck synopsys 团队审查了较旧的 struts 版本和公告,并在报告的受影响版本中发现了一些差异。struts 团队会仔细研究他们的发现并在需要时发布更正。如果用户正在运行旧版本,而他们认为这些旧版本实际上不受建议的影响,那么这可能非常重要。但是,那些相同的用户很可能会受到自此之后已解决的其他问题的攻击,因此我们始终建议用户升级到最新版本的 struts,以确保其版本包含针对所有已发布的安全问题的修复程序。
2019年8月:netflix 发现了许多拒绝服务漏洞,这些漏洞影响了各种 http/ 2实现。对包含 http/ 2 实现的 asf 项目进行了调查并分析了所报告的问题。apache http server 和 apache trafficserver 均发布了更新,以解决影响它们的拒绝服务问题。apache tomcat 还对 http/ 2 处理进行了性能改进,但是这些问题并未归类为拒绝服务。
2019年9月:risksense 报告重点介绍了勒索软件已知使用的漏洞,其中包括 asf 项目中的四个漏洞。这四个漏洞在早些年都已修复,并且在任何勒索软件利用它们之前,都具有可用的更新和缓解措施。用户应始终确保他们在使用的任何 asf 项目中关注安全更新,并为任何远程或严重漏洞确定更新的优先级。
2019年12月:apache olingo 中的一个漏洞允许 xml 外部实体(xxe)攻击(cve-2019-17554)。例如,可以使用此问题从服务器检索任意文件。存在一个针对此问题的公共利用示例。
一年来,apache solr 中存在许多漏洞,这些漏洞可能允许远程执行代码。存在针对某些问题的公共漏洞利用以及 metasploit 模块。
欧盟委员会 eu-fossa 2 项目赞助了漏洞赏金计划,供用户在 apache kafka 和 apache tomcat 中发现安全问题。apache kafka 中未解决任何问题。apache tomcat 中修复了两个问题:cve-2019-0232(严重性,影响 windows 平台,提供包括 metasploit 模块的公共漏洞利用)和cve-2019-0221(低严重性)。除了提供漏洞赏金外,eu-fossa 2 还于 2019 年 6 月赞助了一次成功的黑客马拉松。
asf表示,“ apache software foundation 项目高度多样化且独立。它们具有不同的语言,社区,管理和安全模型。但是,每个项目的共同点之一是如何处理报告的安全问题的一致过程” 。并称,“该报告提供了 2019 日历年的指标,显示了从我们收到的 18,000 封电子邮件中整理了 300 多个漏洞报告,从而修复了 100 多个(cve)问题。”
试用申请