根据报告,该报告显示了所有Apache软件基金会项目在2019年的安全状态。审查关键指标、特定漏洞和ASF项目用户受安全问题影响的最常见方式。
强调:
2019年1月:Securonix发布了一份报告,概述了Apache Hadoop实例攻击的增加,这些攻击没有配置身份验证。公共利用和Metasploit模块用于在不受保护的Hadoop纱线系统上执行远程代码。
2019年4月:Apache HTTP Server 2.4 (CVE-2019-0211)的一个缺陷。可以在Web服务器上编写脚本的用户可以将这些特权提升到root。这个问题有一个公开的漏洞。
2019年4月:Apache Axis较老版本的一个缺陷,该缺陷解析了从过期域不安全检索的文件,允许远程代码执行(CVE-2019-0227)。
2019年8月:Black Duck Synopsys团队审查了较老的Struts版本和警告,发现报告的受影响版本存在一些差异。Struts团队研究了他们的发现,并在需要的地方发布了更正。如果用户运行的旧版本没有受到基于警告的问题的影响,这一点可能很重要,但实际上它们确实受到了影响。但是,这些用户可能容易受到其他已经修复的问题的影响,因此我们总是建议用户升级到最新版本的Struts,以确保他们拥有一个包含所有已发布的安全问题修复的版本。
2019年8月:Netflix发现了大量影响各种HTTP/2实现的拒绝服务漏洞。对包含HTTP/2实现的ASF项目进行了调查和分析。Apache HTTP服务器和Apache TrafficServer都发布了更新,以解决影响它们的拒绝服务问题。Apache Tomcat还对HTTP/2处理进行了性能改进,但这些问题并不属于拒绝服务。
2019年9月:RiskSense的一份报告突出了已知被勒索软件使用的漏洞,其中包括四个ASF项目。这四个漏洞都是在早些年修复的,在任何勒索软件利用它们之前,它们都有更新和缓解措施。用户应该始终确保在他们使用的任何ASF项目中关注安全更新,并优先更新任何远程或关键漏洞。这四个缺陷是:
- CVE-2016-3088在Apache ActiveMQ。以XBash为目标,这个问题很容易被利用。它在Active MQ 5.14.0中得到了修复,并且可以进行缓解。
- CVE-2017-12615在Apache Tomcat。看到这个问题出现在名单上令人惊讶,因为它影响了一个非违约和相当不可能的缺陷。然而,这是Lucky(“撒旦”的变体)研究的一个问题,所以如果有一个服务器以这种方式配置,它就会暴露出来。这个问题只影响了非默认配置下的Windows平台,它在Tomcat 7.0.81中得到了修复,并且可以得到缓解。注意,Lucky还将对可访问的Tomcat Web管理控制台执行针对弱密码的蛮力攻击。
- CVE-2017-5638在Apache Struts中。众所周知,这个问题在野外会被利用,但是第一个利用是在发布了建议和修复之后发现的。被Lucky(Satan的变体)使用。它在Struts 2.3.32和2.5.10.1中得到了修复,而且还有一个改进。
- CVE-2018-11776在Apache Struts中。这个问题也被Lucky使用。它在Struts 2.3.35、2.5.17中得到了修复,有可能得到缓解,但建议进行升级。
2019年12月:Apache Olingo允许XML外部实体(XXE)攻击的缺陷(CVE-2019-17554)。例如,可以使用这个问题从服务器检索任意文件。针对这一问题存在一个公开的利用实例。
Apache Solr中的许多缺陷可能允许远程代码执行。一些问题和Metasploit模块都存在公共漏洞。
欧盟委员会EU-FOSSA 2项目赞助了一些bug奖励项目,帮助用户发现Apache Kafka和Apache Tomcat中的安全问题。Apache Kafka没有修复任何问题。