日前,Apache 软件基金会(ASF)发布了 2020 年安全报告。 Apache 软件基金会成立于 2002 年,由志愿者组成,其安全委员会监督并协调所有 340 多个 Apache 项目中的漏洞处理。根据该报告,Apache 项目的安全问题在 2020 年显著增加。
根据其报告,2020 年 Apache 软件基金会从收到的 18000 封电子邮件中,对 370 多个与 ASF 项目有关的漏洞报告进行了分类,从而解决了 151 个 CVE 问题。与 2019 年相比,处理的非垃圾邮件数量增长了 53%,安全漏洞数量增长了 13%,CVE 数量增长了 24%。下图是 2019 年报告数据。
在这些问题中,值得关注的包括:2 月份的 CVE-2020-1938,又名 “Ghostcat”;5 月份的 CVE-2017-5638,Apache Struts 2 的远程命令执行漏洞;7月份的 CVE-2020-9497 和 CVE-2020-9498,用户连接到恶意或受损的 RDP 服务器可能导致内存泄漏或远程代码执行;8 月份的 CVE-2019-0230,该漏洞导致 Apache Struts 可能被攻击者注入 OGNL(Object-Graph Navigation Language)表达式以执行任意代码;CVE-2019-0235,Apache OFBiz 的 CSRF问题;CVE-2020-13951,Apache OpenMeetings 的 DoS 问题;CVE-2020-17518 和 CVE-2020-17519,Apache Flink 的任意读/写问题。
不过,正如其在报告结尾中所说,Apache 项目仍然值得信赖。“Apache Software Foundation projects are highly diverse and independent. They have different languages, communities, management, and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams, communities, and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。
本文转自OSCHINA
本文Apache 软件基金会 2020 年安全报告发布,安全问题显著增加
本文地址:https://www.oschina.net/news/127837/apache-security-report-2020