Apache Software Foundation waarschuwt voor gebruik end-of-life software

[Captain Kirk]

Gebruikers van Apache-software worden nog altijd aangevallen omdat ze van niet meer ondersteunde software gebruikmaken. Dit is een industriebreed probleem en ondermijnt de inzet van de Apache Software Foundation om kwetsbaarheden snel te verhelpen, zo stelt Mark Cox, vice-president security van de stichting.

De Apache Software Foundation beheert meerdere softwareprojecten, waaronder de Apache-webserver, OpenOffice, SpamAssassin en het inmiddels wereldwijd bekende Log4j. Vorig jaar ontving de stichting 441 meldingen van nieuwe kwetsbaarheden. Een stijging ten opzichte van 2020 en 2019, toen het nog om respectievelijk 376 en 320 meldingen ging. Het gaat hierbij om zowel externe als interne meldingen.

Per 1 januari van dit jaar zijn vijftig van de 441 meldingen nog steeds in onderzoek. Dit wil zeggen dat het betreffende softwareproject de melding nog niet heeft afgewezen of er een CVE-nummer aan heeft toegekend. Dit aantal is hoger dan normaal, aldus Cox en komt door het grote aantal meldingen van eind december. Aan de hand van de resterende 391 meldingen zijn er 183 CVE-nummers voor kwetsbaarheden toegekend. Dat waren erin 2020 nog 151, tegenover 122 in 2019.

Hoewel de Apache Software Foundation de gevonden en gerapporteerde kwetsbaarheden snel verhelpt, blijkt dat gebruikers nog steeds via oude beveiligingslekken in verouderde Apache-software worden aangevallen. "Leveranciers, en dus hun gebruikers, maken nog steeds gebruik van end-of-life versies die bekende niet verholpen kwetsbaarheden bevatten", merkt Cox op. "Dit blijft een groot probleem en we zijn bezig om dit industriebreed probleem aan te pakken."

 

bron: https://www.security.nl