MySQL、Jenkins是漏洞最多的两个开源项目
开源软件受到企业喜爱,但可能需要注意漏洞问题。一项针对开源项目的安全研究显示,一些主要开源项目去年发现了近1,000个漏洞数量,其中又以Jenkins和MySQL漏洞最多。此外,跨网站脚本(XSS)及输入资料验证,是出现最多攻击程序的漏洞类型。
安全厂商RiskSense查看了54项主要的开源项目,从2015年到2020年3月底的公开CVE漏洞代码,同时分析这些漏洞从被公开到被分派CVE代码所需时间,以及针对它们的攻击程序数量。
研究人员发现,2015年到2019年一共发现这54个开源2,694个CVE代码,而且呈现急速增加的趋势。其中2019年冒出了968个漏洞,比2018年(421个)增加了130%,比2017年(435个)增加127%。但研究人员说,从2020年头3个月有179个漏洞代码来看,可以预测2020年恐怕还会再创新高。
而从个别项目的漏洞数量来看,持续集成工具Jenkins以646项漏洞居冠,其次是数据库软件MySQL。而“被武装化”(weaponized)漏洞,意思指存在攻击程序的漏洞,这两个项目也不少,各有15个。另一方面,HashiCorp的虚拟部署工具Vagrant虽然只有9个漏洞,却有6个遭“武装化”,是比例最高的项目。内容管理平台Alfresco的9个漏洞中,也有3个被武装化。
ApacheTomcat、Magento、Kubernetes、Elasticsearch和JBoss的漏洞,也是现实世界攻击中,黑客最爱的目标。
若看漏洞类型,跨网站脚本(Cross-SiteScripting,XSS)或输入资料验证(InputValidation)漏洞是最常见的两大类型。其中XSS漏洞被武装化程度(存在攻击程序数量)以11个最多。被武装化的输入资料验证漏洞有9个为第2多。访问管控漏洞者以7个居第3。
其他漏洞还包括反列化(Deserialization)、程序代码注入及处理不当(ErrorHandling)等问题。
最后,研究人员还指出,开源项目从被发现到被加入美国漏洞数据库(NVD)作业时间冗长。从首次公开披露到加入NVD,平均需耗时54天。有119个漏洞花了超过1年,24%需要1个月。最夸张的是某个PostgreSQL重大漏洞,在公开后1,817天才加入。研究显示,作业冗长的问题遍布不同风险层级的漏洞,但重大风险者往往耗时愈久。