日前,Apache 软件基金会(ASF)发布了 2020 年安全报告。 Apache 软件基金会成立于 2002 年,由志愿者组成,其安全委员会监督并协调所有 340 多个 Apache 项目中的漏洞处理。根据该报告,Apache 项目的安全问题在 2020 年显著增加。
根据其报告,2020 年 Apache 软件基金会从收到的 18000 封电子邮件中,对 370 多个与 ASF 项目有关的漏洞报告进行了分类,从而解决了 151 个 CVE 问题。与 2019 年相比,处理的非垃圾邮件数量增长了 53%,安全漏洞数量增长了 13%,CVE 数量增长了 24%。下图是 2019 年报告数据。
在这些问题中,值得关注的包括:2 月份的 CVE-2020-1938,又名 “Ghostcat”;5 月份的 CVE-2017-5638,Apache Struts 2 的远程命令执行漏洞;7月份的 CVE-2020-9497 和 CVE-2020-9498,用户连接到恶意或受损的 RDP 服务器可能导致内存泄漏或远程代码执行;8 月份的 CVE-2019-0230,该漏洞导致 Apache Struts 可能被攻击者注入 OGNL(Object-Graph Navigation Language)表达式以执行任意代码;CVE-2019-0235,Apache OFBiz 的 CSRF问题;CVE-2020-13951,Apache OpenMeetings 的 DoS 问题;CVE-2020-17518 和 CVE-2020-17519,Apache Flink 的任意读/写问题。
不过,正如其在报告结尾中所说,Apache 项目仍然值得信赖。“Apache Software Foundation projects are highly diverse and independent. They have different languages, communities, management, and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams, communities, and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。
本文转自OSCHINA
本文标题:Apache 软件基金会 2020 年安全报告发布,安全问题显著增加
本文地址:https://www.oschina.net/news/127837/apache-security-report-2020
区块链在新型社会治理中扮演着举足轻重的作用。 今年许多出现的社会问题令人咂舌...
1.每个没心没肺的人,都有一段为某人掏心掏肺的曾经。 2.我从来不知道,你要辜...
区块链有各种各样的用例集,从金融到去中心化互联网。 但是,大多数区块链用例可...
日前,国家卫健委发布《关于加强全民健康信息标准化体系建设的意见》(以下简称意...
北京时间 3 月 7 日上午消息,本周五,一位知情人士表示,微软(Microsoft Corp ...
1.不必遗憾,能分开的都是不对的人。 2.之所以会念念不忘,是因为自知此生再也...
在本周的一个在线发布的研究中,一位匿名安全研究人员声称他们发现 Brave 的 Tor...
自动化、远程办公和知识经济这三者之间有什么共同点?这三者都是对未来的工作是什...
Google 日前在 Chrome 浏览器中屏蔽了 7 个 TCP 端口,如果用户访问的网站就是采...
公链发展到今天,其优缺点已经非常明显。比特币专注于价值流通和价值存储,在价...