日前，Apache 軟件基金會(ASF)發(fā)布了 2020 年安全報告。 Apache 軟件基金會成立于 2002 年，由志愿者組成，其安全委員會監(jiān)督并協(xié)調(diào)所有 340 多個 Apache 項目中的漏洞處理。根據(jù)該報告，Apache 項目的安全問題在 2020 年顯著增加。

根據(jù)其報告，2020 年 Apache 軟件基金會從收到的 18000 封電子郵件中，對 370 多個與 ASF 項目有關(guān)的漏洞報告進行了分類，從而解決了 151 個 CVE 問題。與 2019 年相比，處理的非垃圾郵件數(shù)量增長了 53%，安全漏洞數(shù)量增長了 13%，CVE 數(shù)量增長了 24%。下圖是 2019 年報告數(shù)據(jù)。

在這些問題中，值得關(guān)注的包括：2 月份的 CVE-2020-1938，又名 “Ghostcat”;5 月份的 CVE-2017-5638，Apache Struts 2 的遠程命令執(zhí)行漏洞;7月份的 CVE-2020-9497 和 CVE-2020-9498，用戶連接到惡意或受損的 RDP 服務(wù)器可能導(dǎo)致內(nèi)存泄漏或遠程代碼執(zhí)行;8 月份的 CVE-2019-0230，該漏洞導(dǎo)致 Apache Struts 可能被攻擊者注入 OGNL(Object-Graph Navigation Language)表達式以執(zhí)行任意代碼;CVE-2019-0235，Apache OFBiz 的 CSRF問題;CVE-2020-13951，Apache OpenMeetings 的 DoS 問題;CVE-2020-17518 和 CVE-2020-17519，Apache Flink 的任意讀/寫問題。

不過，正如其在報告結(jié)尾中所說，Apache 項目仍然值得信賴。“Apache Software Foundation projects are highly diverse and independent. They have different languages, communities, management, and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams, communities, and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Apache 軟件基金會 2020 年安全報告發(fā)布，安全問題顯著增加

本文地址：https://www.oschina.net/news/127837/apache-security-report-2020