Start Empfohlen Open-Source-Schwachstellen haben sich 2019 verdoppelt

Open-Source-Schwachstellen haben sich 2019 verdoppelt

53
0


Verletzlichkeit

Open-Source-Code ermöglicht es Entwicklern, neue Fähigkeiten schnell in Anwendungen zu integrieren, ohne das Rad neu erfinden zu müssen, aber dies ist nicht ungefährlich.

Ein neuer Bericht von RiskSense bietet detaillierte Erkenntnisse zu Schwachstellen in führender Open-Source-Software (OSS), einschließlich der am stärksten bewaffneten Schwachstellen, der am stärksten gefährdeten Software und der wichtigsten Angriffsarten.

Zu den wichtigsten Ergebnissen des Berichts gehört, dass sich die Gesamtzahl der Schwachstellen in OSS im Jahr 2019 von 421 Common Vulnerabilities and Exposures (CVEs) im Jahr 2018 auf 968 im letzten Jahr mehr als verdoppelt hat. Die Studie zeigt auch, dass es sehr lange dauert, bis OSS-Schwachstellen in die National Vulnerability Database (NVD) aufgenommen werden, durchschnittlich 54 Tage zwischen der Veröffentlichung und der Aufnahme.

Diese Verzögerung kann dazu führen, dass Unternehmen fast zwei Monate lang ernsthaften Anwendungssicherheitsrisiken ausgesetzt sind. Diese sehr langen Verzögerungen werden bei allen Schweregraden beobachtet, einschließlich als „kritisch“ eingestufter Schwachstellen und solche, die als Waffe genutzt wurden, was bedeutet, dass der Exploit in freier Wildbahn vorhanden ist.

„Obwohl Open-Source-Code oft als sicherer angesehen wird als kommerzielle Software, da er Crowdsourcing-Prüfungen unterzogen wird, um Probleme zu finden, zeigt diese Studie, dass OSS-Schwachstellen zunehmen und für viele Unternehmen ein blinder Fleck sein können“, sagt Srinivas Mukkamala, CEO von RiskSense. „Da Open Source heute überall verwendet und wiederverwendet wird, können Schwachstellen, die gefunden werden, unglaublich weitreichende Folgen haben.“

Andere Ergebnisse zeigen, dass der Jenkins-Automatisierungsserver mit 646 insgesamt die meisten CVEs aufwies, dicht gefolgt von MySQL mit 624. Diese beiden OSS-Projekte wiesen mit jeweils 15 auch die am meisten bewaffneten Schwachstellen auf. Im Gegensatz dazu hatte Vagrant von HashiCorp insgesamt nur neun CVEs, aber sechs davon waren waffenfähig, was es prozentual zu einem der am stärksten bewaffneten Open-Source-Projekte machte.

Apache Tomcat, Magento, Kubernetes, Elasticsearch und JBoss wiesen alle Schwachstellen auf, die bei realen Angriffen im Trend oder beliebt waren.

Die Schwachstellen von Cross-Site Scripting (XSS) und Eingabevalidierung gehören zu den häufigsten und am häufigsten eingesetzten Schwachstellen in der Studie. XSS-Probleme sind die zweithäufigste Art von Schwäche, aber die am stärksten bewaffnete. Eingabevalidierungsprobleme sind die dritthäufigsten und die zweithäufigste Waffe.

Die Kompletter Bericht ist auf der RiskSense-Site verfügbar.

Bildnachweis: LeoWolfert/Shutterstock



Vorheriger ArtikelDies sind die aktuellen Upgrade-Blöcke für das Windows 10 Mai 2019 Update
Nächster ArtikelUS-Rollout von Samsung Bixby verzögert sich, da der virtuelle Assistent mit Englisch zu kämpfen hat

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein