Apache Software Foundationのは、2019年の年次セキュリティ報告書を発表しました

情報 2020-02-08 21:50:40 訪問数: null

2019年Apache Software Foundationのプロジェクトの報告書によると、報告書のショーは、すべてのセキュリティステータス。最も一般的な方法によって主要な指標、特定の脆弱性とASFプロジェクトの見直しは、ユーザーのセキュリティ問題に影響を与えます。

Apache Software Foundationのは、2019年の年次セキュリティ報告書を発表しました

彼は強調しました:

2019年1月には:Securonixは攻撃の増加のApache Hadoopのインスタンスをまとめた報告書を発表し、これらの攻撃は、認証を設定されていません。Hadoopのは、保護されていない糸システム上のパブリックMetasploitのリモートでコードが実行を使用するための手段。

2019年4月:欠陥Apache HTTPサーバ2.4(CVE-2019から0211)があります。ユーザーがルートにこれらの権限を強化することができ、Webサーバー上でスクリプトを書くことができます。この問題は、抜け穴をオープンしています。

2019年4月:Apache Axisの欠陥の古いバージョン、欠陥が期限切れのドメインからの解決には、リモートでコードが実行される(CVE-2019から0227まで)を可能にする、安全でないファイルを検索します。

2019年8月:シノプシスチームダックブラックは、Strutsの古いバージョンを検査し、警告は報告書の影響を受けるバージョンで、いくつかの違いがあることがわかりました。Strutsのチームは彼らの調査結果を研究し、そして、必要に応じて修正を発表しました。ユーザーが古いバージョンを実行している場合は重要であろう問題に基づく警告の影響を受けるが、実際に彼らは本当に影響を受けません。私たちは常に、ユーザーがセキュリティ上の問題が修理のすべての公開バージョンが含まれています持っていることを保証するために、Strutsのの最新バージョンにアップグレードすることをお勧めしますので、しかし、これらのユーザーは、固定されている他の問題の影響を受けやすいかもしれません。

2019年8月:ネットフリックスは、さまざまなHTTP / 2の実装の大多数に影響を与えるサービス拒否の脆弱性を発見しました。/ 2にASFプロジェクトは、HTTPの実装を調査し、分析した含まれています。Apache HTTPサーバとApache TrafficServerは、サービスの問題の彼らの否定の影響に対処するためのアップデートをリリースしてきました。Apache TomcatのもHTTP / 2、処理性能の向上が、これらの問題は、サービス拒否の一部ではありません。

2019年9月:4つのASFのプロジェクトを含む恐喝ソフトウェアの脆弱性であることが知られているRiskSenseレポートのハイライト。4件の脆弱性は、任意のランサムウェアは、それらを使用する前に、彼らは更新し、緩和措置する必要があり、早い時期に修復されます。ユーザーは常にASFプロジェクトのその使用の安全性についての懸念を更新し、任意のリモートまたは重大な脆弱性を更新するために優先順位を与えることを確認する必要があります。4欠陥は以下のとおりです。

  1. アパッチのCVE-2016-3088のActiveMQ。目標としてXBashに、この問題は簡単に悪用される可能性があります。これは、Active MQ 5.14.0で修復され、緩和することができます。
  2. CVE-2017から12615のTomcat Apacheの上。それがデフォルト以外に影響を与え、おそらく欠陥にはないので、リスト上のこの問題は驚くべきことである参照してください。しかし、これはラッキー(「サタン」バリアント)に問題があるので、このように構成されたサーバーがある場合、それが公開されます。この問題は、それはTomcatの7.0.81で修正されてしまった、と緩和することができる、非デフォルトの設定では、Windowsプラットフォームに影響を与えます。ラッキーがアクセス可能にTomcatのWeb管理コンソールの弱いパスワードに対するブルートフォース攻撃を実行します、注意してください。
  3. CVE-2017-5638のApache Strutsのインチ 我々はすべて知っていると、この問題は実際に悪用されますが、修復に最初の使用及び発行勧告が見つかりました。ラッキー(サタンバリアント)で使用されます。これは、Strutsで2.3.32および2.5.10.1を修理するだけでなく、改善されました。
  4. CVE-2018から11776のApache Strutsので。また、この問題はラッキーの使用でした。Strutsの2.3.35,2.5.17では、それが修復を取得、それを緩和することができるが、アップグレードすることをお勧めします。

2019年12月:ApacheのOlingoは、XML外部エンティティ(XXE)攻撃の脆弱性(CVE-2019から17554)が可能。たとえば、サーバーからファイルを取得するには、この問題を使用することができます。公共の例を使用してこの問題を解決するには。

ApacheのSolrの多くの欠陥により、リモートでコードが実行される可能性があります。Metasploitのモジュールは、いくつかの問題であり、一般的な脆弱性があります。

欧州委員会EU-FOSSA 2プロジェクトは、ヘルプのユーザーにいくつかのバグの報酬プログラムのスポンサーのApache TomcatとApacheカフカのでセキュリティ問題を発見。Apacheのカフカは、すべての問題を解決していませんでした。

おすすめ

転載: www.linuxidc.com/Linux/2020-02/162208.htm
おすすめ
openKylinコミュニティ生態委員会の第6回会議が無事に開催されました
Alibaba Cloud、Tongyi Qianwen 2.5を正式リリース
Python 3.13 が最初のベータ版をリリース: 実験的なフリー スレッド モードと JIT、改善された対話型インタープリター
Stack Overflow は私のコードを使用して大規模な AI モデルをトレーニングし、私のアカウントを禁止しました。
Pop!_OS の COSMIC デスクトップが App Store のリストに掲載される
レポート: Django は依然として 74% の開発者にとって第一の選択肢です
「2024年第1四半期のインターネット投融資業務」調査レポート
15 年前、彼は「FFmpeg 恥の柱」に立っていたのに、今でも私たちに感謝しなければなりません - Tencent QQPlayer はその恥を晴らしますか?
ランキング
ブルーブリッジカップクロップハイブリッド(再帰的)
java线程、线程池
关于毕业前后的道路
JVMの基本
OpenCV ヒストグラムの原理と表示、マスキング、イコライゼーション、適応イコライゼーション
PHPのAES暗号化と復号化、MCRYPT_ENCRYPTとopenssl_encrypt
スコアボードを回転poj3335
Vueで要求されたデータ:タイムスタンプ変換時間
Javaの合併のpng画像
HttpServletResponseアプリケーションリクエストのリダイレクト
アーカイブ
もっと
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)

コードワールド

© 2018 codetd.com