日前,Apache 软件基金会(ASF) 2020年发布安全报告。Apache 软件基金会成立于 2002 年,由志愿者组成,其安全委员会监督并协调所有 340 多个 Apache 项目漏洞处理。根据报告,Apache 项目安全问题在 2020 年显著增加。
根据其报告,2020年 Apache 软件基金会从收到的 18000 电子邮件中,对 370 多个和 ASF 项目相关漏洞报告分类,解决了 151 CVE 问题。与 2019 年相比,处理的非垃圾邮件数量增长了 53%,安全漏洞数量增长了 13%,CVE 数量增加了 24%。下图为 2019 年报数据。
在这些问题中,值得注意的是:2 月份的 CVE-2020-1938,又名 “Ghostcat”;5 月份的 CVE-2017-5638,Apache Struts 2 远程命令执行漏洞;7月 CVE-2020-9497 和 CVE-2020-9498,用户连接到恶意或受损的 RDP 服务器可能导致内存泄漏或远程代码执行;8 CVE-2019-0230,这个漏洞导致 Apache Struts 可能被攻击者注入 OGNL(Object-Graph Navigation Language)表达式执行任何代码;CVE-2019-0235,Apache OFBiz 的 CSRF问题;CVE-2020-13951,Apache OpenMeetings 的 DoS 问题;CVE-2020-17518 和 CVE-2020-17519,Apache Flink 任意阅读/写作问题。
然而,正如结尾所说,Apache 项目仍然值得信赖。“Apache Software Foundation projects are highly diverse and independent. They have different languages,communities, management,and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams,communities,and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。
本文转自OSCHINA
本文标题:Apache 软件基金会 2020年安全报告发布,安全问题明显增加
本文地址:https://www.oschina.net/news/127837/apache-security-report-2020