手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

Apache 软件基金会发布2019年度安全报告

[日期:2020-02-02] 来源:Linux公社  作者:醉落红尘 [字体: ]

Apache软件基金会(ASF)发布了《Apache软件基金会2019年度安全报告(Apache Software Foundation Security Report: 2019)》。根据该报告,2019年最值得注意的事件包括Hadoop实例攻击的增加、Apache HTTP Server 2.4的漏洞以及Apache Axis较老版本的漏洞。

根据报告,该报告显示了所有Apache软件基金会项目在2019年的安全状态。审查关键指标、特定漏洞和ASF项目用户受安全问题影响的最常见方式。

Apache 软件基金会发布2019年度安全报告

强调:

2019年1月:Securonix发布了一份报告,概述了Apache Hadoop实例攻击的增加,这些攻击没有配置身份验证。公共利用和Metasploit模块用于在不受保护的Hadoop纱线系统上执行远程代码。

2019年4月:Apache HTTP Server 2.4 (CVE-2019-0211)的一个缺陷。可以在Web服务器上编写脚本的用户可以将这些特权提升到root。这个问题有一个公开的漏洞。

2019年4月:Apache Axis较老版本的一个缺陷,该缺陷解析了从过期域不安全检索的文件,允许远程代码执行(CVE-2019-0227)。

2019年6月:Jonathan Leitschuh在发现大量Java构建依赖项通过不安全路径(即HTTP而不是HTTPS)下载后联系了我们。我们并没有将它们归类为自身的安全漏洞,因为利用它们需要在构建时进行MITM攻击。我们与ASF项目合作,包括记者确定的项目,以确保我们使用安全的url。现在,在2020年,许多存储库需要安全的url。

2019年8月:Black Duck Synopsys团队审查了较老的Struts版本和警告,发现报告的受影响版本存在一些差异。Struts团队研究了他们的发现,并在需要的地方发布了更正。如果用户运行的旧版本没有受到基于警告的问题的影响,这一点可能很重要,但实际上它们确实受到了影响。但是,这些用户可能容易受到其他已经修复的问题的影响,因此我们总是建议用户升级到最新版本的Struts,以确保他们拥有一个包含所有已发布的安全问题修复的版本。

2019年8月:Netflix发现了大量影响各种HTTP/2实现的拒绝服务漏洞。对包含HTTP/2实现的ASF项目进行了调查和分析。Apache HTTP服务器和Apache TrafficServer都发布了更新,以解决影响它们的拒绝服务问题。Apache Tomcat还对HTTP/2处理进行了性能改进,但这些问题并不属于拒绝服务。

2019年9月:RiskSense的一份报告突出了已知被勒索软件使用的漏洞,其中包括四个ASF项目。这四个漏洞都是在早些年修复的,在任何勒索软件利用它们之前,它们都有更新和缓解措施。用户应该始终确保在他们使用的任何ASF项目中关注安全更新,并优先更新任何远程或关键漏洞。这四个缺陷是:

  1. CVE-2016-3088在Apache ActiveMQ。以XBash为目标,这个问题很容易被利用。它在Active MQ 5.14.0中得到了修复,并且可以进行缓解。
  2. CVE-2017-12615在Apache Tomcat。看到这个问题出现在名单上令人惊讶,因为它影响了一个非违约和相当不可能的缺陷。然而,这是Lucky(“撒旦”的变体)研究的一个问题,所以如果有一个服务器以这种方式配置,它就会暴露出来。这个问题只影响了非默认配置下的Windows平台,它在Tomcat 7.0.81中得到了修复,并且可以得到缓解。注意,Lucky还将对可访问的Tomcat Web管理控制台执行针对弱密码的蛮力攻击。
  3. CVE-2017-5638在Apache Struts中。众所周知,这个问题在野外会被利用,但是第一个利用是在发布了建议和修复之后发现的。被Lucky(Satan的变体)使用。它在Struts 2.3.32和2.5.10.1中得到了修复,而且还有一个改进。
  4. CVE-2018-11776在Apache Struts中。这个问题也被Lucky使用。它在Struts 2.3.35、2.5.17中得到了修复,有可能得到缓解,但建议进行升级。

2019年12月:Apache Olingo允许XML外部实体(XXE)攻击的缺陷(CVE-2019-17554)。例如,可以使用这个问题从服务器检索任意文件。针对这一问题存在一个公开的利用实例。

Apache Solr中的许多缺陷可能允许远程代码执行。一些问题和Metasploit模块都存在公共漏洞。

欧盟委员会EU-FOSSA 2项目赞助了一些bug奖励项目,帮助用户发现Apache Kafka和Apache Tomcat中的安全问题。Apache Kafka没有修复任何问题。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-02/162208.htm

linux
相关资讯       Apache软件基金会 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款