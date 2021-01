Die gemeinnützige Organisation Apache Software Foundation (ASF) hat mit dem Security Report 2020 einen Überblick über die im vergangenen Jahr gemeldeten und behobenen Sicherheitslücken veröffentlicht. Insgesamt stehen über 340 Projekte unter dem Schirm der Stiftung und damit gut zehn Prozent mehr als zum Zeitpunkt des Reports von 2019.

Wie die ASF mit gemeldeten Schwachstellen und Issues umgeht, zeigt die Seite "Vulnerability Handling". Die Mail-Adresse zum Melden solcher Probleme steht allen Nutzerinnen und Nutzern offen. Nach der Vorverarbeitung gehen die Mails an die jeweiligen Security-Teams oder Private Management Committees (PMC), die sich um das Prüfen und Beheben der Issues kümmern.

Die Schwachstelle im Heuhaufen

Im letzten Jahr gab es zwar insgesamt 18.000 E-Mails, von denen nach dem Ausfiltern von Spam aber lediglich 946 übriggeblieben sind. Das Aussortieren ist laut Angaben der ASF mit viel Handarbeit verbunden, da offensichtlich viele echte Security-Reports ähnlich aussehen wie Spam-Mails. Im Vorjahresreport blieben aus einer ähnlich großen Gesamtmenge an Maileingängen 640 Nicht-Spam-Mails übrig.

Von 946 Nicht-Spam-Mails im Jahr 2020 stufte die ASF 376 als Schwachstellenmeldungen ein, und 151 haben eine CVE-Nummer erhalten. (Bild: Apache Software Foundation)

Im nächsten Schritt folgt das Aussortieren von Mails, die sich nicht auf Schwachstellen in Apache-Software beziehen. So gab es 257 zu Projekten, die zwar unter Apache-Lizenz, aber nicht unter dem Dach der Foundation stehen. 220 Mails hat das Team als Support-Anfragen ohne Security-Bezug eingestuft, und 93 Mails bezogen sich auf Issues zur Apache Website. Letztere sind laut Angaben der Foundation weitgehend Falschmeldungen.

Auswahl der CVE-Nummern

Von den verbleibenden 376 Meldungen (2019: 320), die eine Mischung aus externen und internen Meldungen sind, standen am 31. Dezember 2020 noch 35 unter Prüfung, Die restlichen bezeichnen tatsächliche Schwachstellen in insgesamt 101 Projekten der Foundation. Damit bleiben 341 gefundene und laut Foundation behobene Schwachstellen (2019: 301) übrig.

Insgesamt 151 Meldungen (2019: 122) erhielten eigene CVE-Namen beziehungsweise -Nummern (Common Vulnerabilities and Exposures). Das Apache Security Committee verwaltet als CVE Numbering Authority (CNA) die Vergabe von CVE-Nummern direkt.

Schwachstellen-Hits des Jahres

Wie jedes Jahr hebt die ASF in ihrem Report einige Ereignisse rund um Security hervor, die sie entweder aufgrund des Medienechos oder wegen des besonders hohen Risikos für nennenswert befindet. Dazu gehört dieses Jahr der im Februar aufgetretene CVE-2020-1938, der den Webserver Tomcat betrifft und den Spitznamen Ghostcat erhalten hat.

Im Mai 2020 landete eine 2017 gefundene und gestopfte Lücke in Apache Struts in den Top 10 Routinely Exploited Vulnerabilities der Cybersecurity and Infrastructure Security Agency (CISA). Nennenswert sind zudem eine Meldung zu Apache Guacamole im Juli und eine weitere zu Apache Struts im August 2020.

Die vollständige Statistik sowie weitere nennenswerte Ereignisse rund um die Security der ASF-Projekte im Jahr 2020 lassen sich dem Apache-Blog entnehmen.

(rme)