Apache Software Foundation(以下、ASF)は米国時間2020年1月31日、「Apache Software Foundation Security Report: 2019」を公開した。同団体は2019年中に合計1万8000通以上のメールを受信し、フィルタリングなどを経て、620スレッドを作成。320の脆弱性レポートに優先順位を付けて、122件のCVE(共通脆弱性識別子)に基づくセキュリティ修正が行われたと説明する。また、138スレッドはApacheライセンスに対する混乱、162スレッドは「スパムではないが、新たな脆弱性報告でもない」(Apache Software Foundation VP for Security, Mark Cox氏)と同団体は解説した。

セキュリティメールスレッドの内訳(公式ブログより抜粋)

 ASFは2019年中の注目すべきセキュリティイベントとして、以下の項目を並べた。

・2019年1月: 認証を使用した未構成のApache Hadoopインスタンスの攻撃の増加を概説するSecuronixのレポート。

・2019年4月: Webサーバー上でスクリプトを書き込む権限を持つユーザーがrootに昇格できるApache HTTPサーバー バージョン2.4 (CVE-2019-0211) の問題。

・2019年4月: 古いApache Axisで、期限切れドメインから取得したファイルを解析し、リモートコードを実行できる問題(CVE-2019-0227)。

・2019年6月:多くのJavaビルド依存関係が安全でないパス(HTTP)でダウンロードしているとしたJonathan Leitschuh氏の報告。

・2019年8月:古いStrutsのバージョンによって不一致が残るBlack Duck Synopsysチームの報告。

・2019年8月:Netflix報告による各HTTP/2実装に影響を与えたサービス拒否の脆弱性。

・2019年9月:ランサムウェアが使用する脆弱性がASFプロジェクト4件含まれるとしたRiskSenseのレポート(Apache ActiveMQ: CVE-2016-3088、Apache Tomcat: CVE-2017-12615、Apache Struts: CVE-2017-5638、CVE-2018-11776)。

・2019年12月:Apache OlingoにXXE(XML外部エンティティ攻撃)を受け付ける脆弱性(CVE-2019-17554)。

・2019年12月: Apache KafkaとApache Tomcatのバグバウンティプログラムを後援したEUのEU-FOSSA 2プロジェクト。その結果CVE-2019-0232、CVE-2019-0221と2つの問題が修正された。

阿久津良和(Cactus)