L’Apache Software Foundation (ASF) a averti que ses efforts pour répondre rapidement aux vulnérabilités de sécurité sont sapés par les organisations qui exécutent des versions en fin de vie des logiciels Apache.
L’avertissement est venu dans le cadre du dernier rapport de l’ASF révision annuelle de sécurité dans l’écosystème Apache, qui a révélé que l’organisation à but non lucratif avait reçu 441 rapports de nouvelles vulnérabilités potentielles en 2021 sur 99 projets de haut niveau.
Ce chiffre représente une augmentation de 17 % des soumissions atteignant le triage par rapport à 2020 (376 rapports) et 38% sur 2019 (320).
Pare-feu de triage
Les rapports ont finalement représenté 183 CVE – en hausse de 21 % par rapport à 2020 (151) et de 50 % par rapport à 2019 (122) – qui comprenaient la vulnérabilité explosive Log4j en décembre et un certain nombre d’autres failles affectant plusieurs projets.
Cinquante des 441 rapports, envoyés à la fois par les responsables du projet et les chercheurs externes en sécurité, étaient toujours en cours de triage à la fin de l’année, ce qui signifie qu’ils n’avaient pas encore reçu de CVE ou rejetés comme invalides. Ce nombre était plus élevé que prévu en raison d’une augmentation des rapports à la fin du mois de décembre, a déclaré l’ASF.
« Alors que l’ASF obtient souvent rapidement des mises à jour pour les problèmes critiques, les rapports montrent que les utilisateurs sont exploités par d’anciens problèmes du logiciel ASF qui n’ont pas été mis à jour depuis des années, et les fournisseurs (et donc leurs utilisateurs) utilisent toujours la fin versions prêtes à l’emploi qui ont connu des vulnérabilités non corrigées », a déclaré Mark Cox, vice-président de la sécurité d’ASF.
« Cela continuera d’être un gros problème et nous nous engageons à nous attaquer à ce problème à l’échelle de l’industrie pour déterminer ce que nous pouvons faire pour aider. »
Sommet de la Maison Blanche
Le fait que les faiblesses de la chaîne d’approvisionnement résident aussi bien en aval qu’en amont était l’un des points soulevés par l’ASF dans un prise de position publié avant sa participation hier (13 janvier) lors d’une réunion organisée par la Maison Blanche sommet virtuel axé sur la sécurité open source.
L’ASF a déclaré avoir également reçu 135 e-mails signalant des « défauts » sur le site Web d’Apache en 2021, qui étaient presque tous des « faux positifs ».
Le rapport de l’ASF a mis en évidence d’autres vulnérabilités et développements notables d’Apache en 2021, sans surprise, cela comprenait le bogue notoire Log4j.
CONSEILLÉ La sécurité bien faite : célébrer les victoires de l’infosec en 2021
Il a également signalé un faille de script intersite (XSS) dans Apache Velocity qui a été divulgué prématurément en janvier après un délai de plusieurs mois entre le développement d’un correctif et la publication du correctif correspondant.
L’ASF a salué les recherches sur les nouvelles menaces exclusives HTTP/2 affectant le serveur HTTP Apache (CVE-2021-33193) publiées en août, et le une addition d’Apache Airflow, d’Apache HTTP Server et d’Apache Commons au programme Internet Bug Bounty de HackerOne en octobre.
Malgré les contraintes de ressources inhérentes à une organisation composée de bénévoles, Mark Cox a déclaré que l’ASF continue de mettre en place « un processus cohérent pour la manière dont les problèmes de sécurité signalés sont traités » parmi plus de 350 projets Apache divers et indépendants, et se réserve le droit d’archiver les projets qui échouer.
