Apache Software Foundation（ASF）發布了  2019年安全報告。根據該報告，2019年最值得注意的事件包括有對Hadoop instances的攻擊增加，Apache HTTP Server 2.4的漏洞以及舊版本的Apache Axis的漏洞。

據介紹，該報告探討了2019 日曆年所有Apache Software Foundation 項目的安全狀態。回顧了關鍵指標，特定漏洞以及ASF 項目用戶受安全問題影響的最常見方式。

官方表示，在 2019 年，其安全地址總共收到18,000 多封電子郵件。經過垃圾郵件過濾和線程分組後，共有620 個non-spam threads 。其中，620 個中的138 ​​個（佔22％）是被Apache 許可證混淆的人們；162 個（26％）既不是垃圾郵件，也不是新漏洞的報告，這些人通常是在詢問支持類型的問題或如何處理舊漏洞。

圖：2019 日曆年ASF security email threads 的細分*

值得注意的事件

2019 年有一些值得討論的事件；要么是因為它們的嚴重性和高風險，要么它們是隨時可用的漏洞利用，或者是由於媒體的關注。這些包括：

• 2019年1月：Securonix  發布了一份報告，概述了尚未配置身份驗證的Apache Hadoop實例的攻擊數量增加。存在公共漏洞利用和Metasploit模塊，可以在不受保護的Hadoop YARN系統上執行遠程代碼執行。
• 2019年4月：Apache HTTP Server 2.4（CVE-2019-0211）中的漏洞 有權在Web服務器上編寫腳本的用戶可以將那些特權提升為root。此問題有一個公共漏洞利用。
• 2019年4月：Apache Axis的較早版本中的一個漏洞，該漏洞分析了從過期域中不安全地檢索的文件，從而允許遠程執行代碼（CVE-2019-0227）。
• 2019年6月：Jonathan Leitschuh發現大量Java  構建依賴項通過不安全的路徑（即HTTP而非HTTPS）下載後，與我們聯繫。我們並未將這些漏洞本身歸類為安全漏洞，因為利用它們會在構建時需要MITM攻擊。我們與ASF項目（包括報告者確定的項目）合作，以確保我們使用安全的URL。現在，到2020年，許多存儲庫都需要安全URL。
• 2019年8月：Black Duck Synopsys團隊審查了較舊的Struts版本和公告，並在報告的受影響版本中發現了一些差異。Struts團隊會仔細研究他們的發現並在需要時發布更正。如果用戶正在運行舊版本，而他們認為這些舊版本實際上不受建議的影響，那麼這可能非常重要。但是，那些相同的用戶很可能會受到自此之後已解決的其他問題的攻擊，因此我們始終建議用戶升級到最新版本的Struts，以確保其版本包含針對所有已發布的安全問題的修復程序。
• 2019年8月：Netflix發現了許多拒絕服務漏洞，這些漏洞影響了各種HTTP/ 2實現。對包含HTTP/ 2實現的ASF項目進行了調查並分析了所報告的問題。Apache HTTP Server和Apache TrafficServer均發布了更新，以解決影響它們的拒絕服務問題。Apache Tomcat還對HTTP/ 2處理進行了性能改進，但是這些問題並未歸類為拒絕服務。
• 2019年9月：RiskSense報告重點介紹了勒索軟件已知使用的漏洞，其中包括ASF項目中的四個漏洞。這四個漏洞在早些年都已修復，並且在任何勒索軟件利用它們之前，都具有可用的更新和緩解措施。用戶應始終確保他們在使用的任何ASF項目中關注安全更新，並為任何遠程或嚴重漏洞確定更新的優先級。
• 2019年12月：Apache Olingo中的一個漏洞允許XML外部實體（XXE）攻擊（CVE-2019-17554）。例如，可以使用此問題從服務器檢索任意文件。存在一個針對此問題的公共利用示例。
• 一年來，Apache Solr中存在許多漏洞，這些漏洞可能允許遠程執行代碼。存在針對某些問題的公共漏洞利用以及Metasploit模塊。
• 歐盟委員會EU-FOSSA 2項目贊助了漏洞賞金計劃，供用戶在Apache Kafka和Apache Tomcat中發現安全問題。Apache Kafka中未解決任何問題。Apache Tomcat中修復了兩個問題：CVE-2019-0232（嚴重性，影響Windows平台，提供包括Metasploit模塊的公共漏洞利用）和CVE-2019-0221（低嚴重性）。除了提供漏洞賞金外，EU-FOSSA 2還於2019年6月贊助了一次成功的黑客馬拉松。

ASF表示，“ Apache Software Foundation 項目高度多樣化且獨立。它們具有不同的語言，社區，管理和安全模型。但是，每個項目的共同點之一是如何處理報告的安全問題的一致過程” 。並稱，“該報告提供了2019 日曆年的指標，顯示了從我們收到的18,000 封電子郵件中整理了300 多個漏洞報告，從而修復了100 多個（CVE）問題。”