Apache Software Foundation（ASF）發(fā)布了 2019 年安全報(bào)告。根據(jù)該報(bào)告，2019 年最值得注意的事件包括有對(duì) Hadoop instances 的攻擊增加，Apache HTTP Server 2.4 的漏洞以及舊版本的 Apache Axis 的漏洞。

        據(jù)介紹，該報(bào)告探討了 2019 日歷年所有 Apache Software Foundation 項(xiàng)目的安全狀態(tài)?；仡櫫岁P(guān)鍵指標(biāo)，特定漏洞以及 ASF 項(xiàng)目用戶受安全問(wèn)題影響的最常見(jiàn)方式。

        官方表示，在 2019 年，其安全地址總共收到 18,000 多封電子郵件。經(jīng)過(guò)垃圾郵件過(guò)濾和線程分組后，共有 620 個(gè) non-spam threads 。其中，620 個(gè)中的138 個(gè)（占 22％）是被 Apache 許可證混淆的人們；162 個(gè)（26％）既不是垃圾郵件，也不是新漏洞的報(bào)告，這些人通常是在詢問(wèn)支持類型的問(wèn)題或如何處理舊漏洞。

圖：2019 日歷年 ASF security email threads 的細(xì)分*

值得注意的事件

        2019 年有一些值得討論的事件；要么是因?yàn)樗鼈兊膰?yán)重性和高風(fēng)險(xiǎn)，要么它們是隨時(shí)可用的漏洞利用，或者是由于媒體的關(guān)注。這些包括：

        2019年1月：Securonix 發(fā)布了一份報(bào)告，概述了尚未配置身份驗(yàn)證的 Apache Hadoop 實(shí)例的攻擊數(shù)量增加。存在公共漏洞利用和 Metasploit 模塊，可以在不受保護(hù)的Hadoop YARN系統(tǒng)上執(zhí)行遠(yuǎn)程代碼執(zhí)行。
        2019年4月：Apache HTTP Server 2.4（CVE-2019-0211）中的漏洞 有權(quán)在 Web 服務(wù)器上編寫腳本的用戶可以將那些特權(quán)提升為 root。此問(wèn)題有一個(gè)公共漏洞利用。
        2019年4月：Apache Axis 的較早版本中的一個(gè)漏洞，該漏洞分析了從過(guò)期域中不安全地檢索的文件，從而允許遠(yuǎn)程執(zhí)行代碼（CVE-2019-0227）。
        2019年6月：Jonathan Leitschuh 發(fā)現(xiàn)大量 Java 構(gòu)建依賴項(xiàng)通過(guò)不安全的路徑（即 HTTP 而非 HTTPS）下載后，與我們聯(lián)系。我們并未將這些漏洞本身歸類為安全漏洞，因?yàn)槔盟鼈儠?huì)在構(gòu)建時(shí)需要 MITM 攻擊。我們與 ASF 項(xiàng)目（包括報(bào)告者確定的項(xiàng)目）合作，以確保我們使用安全的 URL?，F(xiàn)在，到 2020 年，許多存儲(chǔ)庫(kù)都需要安全 URL。
        2019年8月：Black Duck Synopsys 團(tuán)隊(duì)審查了較舊的 Struts 版本和公告，并在報(bào)告的受影響版本中發(fā)現(xiàn)了一些差異。Struts 團(tuán)隊(duì)會(huì)仔細(xì)研究他們的發(fā)現(xiàn)并在需要時(shí)發(fā)布更正。如果用戶正在運(yùn)行舊版本，而他們認(rèn)為這些舊版本實(shí)際上不受建議的影響，那么這可能非常重要。但是，那些相同的用戶很可能會(huì)受到自此之后已解決的其他問(wèn)題的攻擊，因此我們始終建議用戶升級(jí)到最新版本的 Struts，以確保其版本包含針對(duì)所有已發(fā)布的安全問(wèn)題的修復(fù)程序。
        2019年8月：Netflix 發(fā)現(xiàn)了許多拒絕服務(wù)漏洞，這些漏洞影響了各種 HTTP/ 2實(shí)現(xiàn)。對(duì)包含 HTTP/ 2 實(shí)現(xiàn)的 ASF 項(xiàng)目進(jìn)行了調(diào)查并分析了所報(bào)告的問(wèn)題。Apache HTTP Server 和 Apache TrafficServer 均發(fā)布了更新，以解決影響它們的拒絕服務(wù)問(wèn)題。Apache Tomcat 還對(duì) HTTP/ 2 處理進(jìn)行了性能改進(jìn)，但是這些問(wèn)題并未歸類為拒絕服務(wù)。
        2019年9月：RiskSense 報(bào)告重點(diǎn)介紹了勒索軟件已知使用的漏洞，其中包括 ASF 項(xiàng)目中的四個(gè)漏洞。這四個(gè)漏洞在早些年都已修復(fù)，并且在任何勒索軟件利用它們之前，都具有可用的更新和緩解措施。用戶應(yīng)始終確保他們?cè)谑褂玫娜魏?ASF 項(xiàng)目中關(guān)注安全更新，并為任何遠(yuǎn)程或嚴(yán)重漏洞確定更新的優(yōu)先級(jí)。
        2019年12月：Apache Olingo 中的一個(gè)漏洞允許 XML 外部實(shí)體（XXE）攻擊（CVE-2019-17554）。例如，可以使用此問(wèn)題從服務(wù)器檢索任意文件。存在一個(gè)針對(duì)此問(wèn)題的公共利用示例。
一年來(lái)，Apache Solr 中存在許多漏洞，這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。存在針對(duì)某些問(wèn)題的公共漏洞利用以及 Metasploit 模塊。
        歐盟委員會(huì) EU-FOSSA 2 項(xiàng)目贊助了漏洞賞金計(jì)劃，供用戶在 Apache Kafka 和 Apache Tomcat 中發(fā)現(xiàn)安全問(wèn)題。Apache Kafka 中未解決任何問(wèn)題。Apache Tomcat 中修復(fù)了兩個(gè)問(wèn)題：CVE-2019-0232（嚴(yán)重性，影響 Windows 平臺(tái)，提供包括 Metasploit 模塊的公共漏洞利用）和CVE-2019-0221（低嚴(yán)重性）。除了提供漏洞賞金外，EU-FOSSA 2 還于 2019 年 6 月贊助了一次成功的黑客馬拉松。

        ASF表示，“ Apache Software Foundation 項(xiàng)目高度多樣化且獨(dú)立。它們具有不同的語(yǔ)言，社區(qū)，管理和安全模型。但是，每個(gè)項(xiàng)目的共同點(diǎn)之一是如何處理報(bào)告的安全問(wèn)題的一致過(guò)程” 。并稱，“該報(bào)告提供了 2019 日歷年的指標(biāo)，顯示了從我們收到的 18,000 封電子郵件中整理了 300 多個(gè)漏洞報(bào)告，從而修復(fù)了 100 多個(gè)（CVE）問(wèn)題?！?