Categories
科技報導

Apache Software Foundation 發布 2019 年安全報告



Apache Software Foundation(ASF)發布了 2019 年安全報告。根據該報告,2019 年最值得注意的事件包括有對 Hadoop instances 的攻擊增加,Apache HTTP Server 2.4 的漏洞以及舊版本的 Apache Axis 的漏洞。

據介紹,該報告探討了 2019 日曆年所有 Apache Software Foundation 項目的安全狀態。回顧了關鍵指標,特定漏洞以及 ASF 項目用戶受安全問題影響的最常見方式。

官方表示,在 2019 年,其安全地址總共收到 18,000 多封電子郵件。經過垃圾郵件過濾和線程分組後,共有 620 個 non-spam threads 。其中,620 個中的138 ​​個(佔22%)是被Apache 許可證混淆的人們;162 個(26%)既不是垃圾郵件,也不是新漏洞的報告,這些人通常是在詢問支持類型的問題或如何處理舊漏洞。

Apache Software Foundation 發布 2019 年安全報告 1

圖:2019 日曆年 ASF security email threads 的細分*

值得注意的事件

2019 年有一些值得討論的事件;要么是因為它們的嚴重性和高風險,要么它們是隨時可用的漏洞利用,或者是由於媒體的關注。這些包括:

  • 2019年1月:Securonix 發布了一份報告,概述了尚未配置身份驗證的 Apache Hadoop 實例的攻擊數量增加。存在公共漏洞利用和 Metasploit 模塊,可以在不受保護的Hadoop YARN系統上執行遠程代碼執行。

  • 2019年4月:Apache HTTP Server 2.4(CVE-2019-0211)中的漏洞 有權在 Web 服務器上編寫腳本的用戶可以將那些特權提升為 root。此問題有一個公共漏洞利用。

  • 2019年4月:Apache Axis 的較早版本中的一個漏洞,該漏洞分析了從過期域中不安全地檢索的文件,從而允許遠程執行代碼(CVE-2019-0227)。

  • 2019年6月:Jonathan Leitschuh 發現大量 Java 構建依賴項通過不安全的路徑(即 HTTP 而非 HTTPS)下載後,與我們聯繫。我們並未將這些漏洞本身歸類為安全漏洞,因為利用它們會在構建時需要 MITM 攻擊。我們與 ASF 項目(包括報告者確定的項目)合作,以確保我們使用安全的 URL。現在,到 2020 年,許多存儲庫都需要安全 URL。

  • 2019年8月:Black Duck Synopsys 團隊審查了較舊的 Struts 版本和公告,並在報告的受影響版本中發現了一些差異。 Struts 團隊會仔細研究他們的發現並在需要時發布更正。如果用戶正在運行舊版本,而他們認為這些舊版本實際上不受建議的影響,那麼這可能非常重要。但是,那些相同的用戶很可能會受到自此之後已解決的其他問題的攻擊,因此我們始終建議用戶升級到最新版本的 Struts,以確保其版本包含針對所有已發布的安全問題的修復程序。

  • 2019年8月:Netflix 發現了許多拒絕服務漏洞,這些漏洞影響了各種 HTTP/ 2實現。對包含 HTTP/ 2 實現的 ASF 項目進行了調查並分析了所報告的問題。 Apache HTTP Server 和 Apache TrafficServer 均發布了更新,以解決影響它們的拒絕服務問題。 Apache Tomcat 還對 HTTP/ 2 處理進行了性能改進,但是這些問題並未歸類為拒絕服務。

  • 2019年9月:RiskSense 報告重點介紹了勒索軟件已知使用的漏洞,其中包括 ASF 項目中的四個漏洞。這四個漏洞在早些年都已修復,並且在任何勒索軟件利用它們之前,都具有可用的更新和緩解措施。用戶應始終確保他們在使用的任何 ASF 項目中關注安全更新,並為任何遠程或嚴重漏洞確定更新的優先級。

  • 2019年12月:Apache Olingo 中的一個漏洞允許 XML 外部實體(XXE)攻擊(CVE-2019-17554)。例如,可以使用此問題從服務器檢索任意文件。存在一個針對此問題的公共利用示例。

  • 一年來,Apache Solr 中存在許多漏洞,這些漏洞可能允許遠程執行代碼。存在針對某些問題的公共漏洞利用以及 Metasploit 模塊。

  • 歐盟委員會 EU-FOSSA 2 項目贊助了漏洞賞金計劃,供用戶在 Apache Kafka 和 Apache Tomcat 中發現安全問題。 Apache Kafka 中未解決任何問題。 Apache Tomcat 中修復了兩個問題:CVE-2019-0232(嚴重性,影響 Windows 平台,提供包括 Metasploit 模塊的公共漏洞利用)和CVE-2019-0221(低嚴重性)。除了提供漏洞賞金外,EU-FOSSA 2 還於 2019 年 6 月贊助了一次成功的黑客馬拉松。

ASF表示,“ Apache Software Foundation 項目高度多樣化且獨立。它們具有不同的語言,社區,管理和安全模型。但是,每個項目的共同點之一是如何處理報告的安全問題的一致過程” 。並稱,“該報告提供了 2019 日曆年的指標,顯示了從我們收到的 18,000 封電子郵件中整理了 300 多個漏洞報告,從而修復了 100 多個(CVE)問題。”