Login
Newsletter
Werbung

Di, 4. Februar 2020, 14:30

Gemeinschaft::Organisationen

Sicherheitsbericht 2019 der Apache Software Foundation

Die Apache Software Foundation hat ihren Bericht über die im Jahr 2019 bearbeiteten Sicherheitsprobleme in ihren Projekten veröffentlicht. Der Bericht liefert eine Statistik über die gut 120 gefundenen Sicherheitslücken und geht auf einige Ereignisse gesondert ein.

Aufteilung der E-Mail-Threads 2019

Apache Software Foundation

Aufteilung der E-Mail-Threads 2019

Die Apache Software Foundation besitzt ein Komitee, das sich um Sicherheitsprobleme kümmert, und rühmt sich eines konsistenten, seit 2002 etablierten Verfahrens für alle der über 300 Apache-Projekte. Alle entdeckten möglichen Sicherheitslücken in Apache-Projekte sollten an die Mail-Adresse security@apache.org gemeldet werden, von wo sie an die Sicherheitsteams oder Leiter der jeweiligen Projekte weitergeleitet werden. Aufgabe des Sicherheitskomitees von Apache ist es, alle Meldungen an die obige Adresse und ihre weitere Behandlung bis zur Lösung aufzuzeichnen. Sollte eine Lösung zu lange auf sich warten lassen, erinnert es das Projekt und verhindert weitere Veröffentlichungen. Sollte die Behebung völlig ausbleiben, wird ein Projekt archiviert und damit beendet.

Die jetzt veröffentlichte Statistik für das Jahr 2019 gibt an, dass mehr als 18.000 Mails an die Kontaktadresse gerichtet wurden. Nach Ausfilterung des Spams und Gruppierung nach Themen ergaben sich 620 Themen im Jahresverlauf. Das Team merkt an, dass die Sortierung ziemlich mühsam war, da viele legitime Meldungen sehr ähnlich wie Spam aussehen. Nur gut die Hälfte der 620 Themen, 320, waren Meldungen über mögliche Sicherheitslücken. 138 kamen von Nutzern, die vom Text der Apache-Lizenz verwirrt waren und nicht verstanden, was sie bedeutet. 162 weitere Themen stellten sich überwiegend als falsch adressierte Support-Anfragen heraus. Von 320 Meldungen über mögliche Sicherheitslücken wurden 301 bereits komplett bearbeitet, 19 werden noch untersucht. Für die Untersuchung, ob eine Meldung gerechtfertigt ist oder nicht, haben die Projekte normalerweise 90 Tage Zeit.

Die eingegangenen Meldungen führten zur Zuweisung von 122 Nummern in der CVE-Datenbank. Die genaue Zahl der akzeptierten Sicherheitslücken liegt in der Nähe dieser 122, muss dem aber nicht exakt entsprechen, was mit Duplikaten, mehreren Lücken in einer CVE und anderen Effekten zu tun hat.

Die Sicherheitslücken waren weit verteilt, wobei einige Projekte mehrere Lücken aufwiesen. Eine Sicherheitsfirma entdeckte, dass viele Hadoop-Instanzen ohne Authentifizierung konfiguriert waren, und eine Ausschreibung des EU-FOSSA 2-Projekts der Europäischen Kommission setzte Prämien für Lücken in Kafka und Tomcat aus. Während in Kafka nichts gefunden wurde, wurden in Tomcat zwei Lücken entdeckt und korrigiert. Ein Problem bleibt weiterhin, dass die Lücken zwar flink geschlossen werden, aber bei den Benutzern oft noch Jahre später veraltete und angreifbare Versionen eingesetzt werden.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung