日前，Apache 軟件基金會(ASF)發布了 2020 年安全報告。 Apache 軟件基金會成立于 2002 年，由志愿者組成，其安全委員會監督并協調所有 340 多個 Apache 項目中的漏洞處理。根據該報告，Apache 項目的安全問題在 2020 年顯著增加。

根據其報告，2020 年 Apache 軟件基金會從收到的 18000 封電子郵件中，對 370 多個與 ASF 項目有關的漏洞報告進行了分類，從而解決了 151 個 CVE 問題。與 2019 年相比，處理的非垃圾郵件數量增長了 53%，安全漏洞數量增長了 13%，CVE 數量增長了 24%。下圖是 2019 年報告數據。

在這些問題中，值得關注的包括：2 月份的 CVE-2020-1938，又名 “Ghostcat”;5 月份的 CVE-2017-5638，Apache Struts 2 的遠程命令執行漏洞;7月份的 CVE-2020-9497 和 CVE-2020-9498，用戶連接到惡意或受損的 RDP 服務器可能導致內存泄漏或遠程代碼執行;8 月份的 CVE-2019-0230，該漏洞導致 Apache Struts 可能被攻擊者注入 OGNL(Object-Graph Navigation Language)表達式以執行任意代碼;CVE-2019-0235，Apache OFBiz 的 CSRF問題;CVE-2020-13951，Apache OpenMeetings 的 DoS 問題;CVE-2020-17518 和 CVE-2020-17519，Apache Flink 的任意讀/寫問題。

不過，正如其在報告結尾中所說，Apache 項目仍然值得信賴。“Apache Software Foundation projects are highly diverse and independent. They have different languages, communities, management, and security models. However one of the things every project has in common is a consistent process for how reported security issues are handled. The ASF Security Committee works closely with the project teams, communities, and reporters to ensure that issues get handled quickly and correctly. This responsible oversight is a principle of The Apache Way and helps ensure Apache software is stable and can be trusted ”。

本文轉自OSCHINA

本文標題：Apache 軟件基金會 2020 年安全報告發布，安全問題顯著增加

本文地址：https://www.oschina.net/news/127837/apache-security-report-2020