CISA敦促美国联邦机构在圣诞节前完成Log4Shell漏洞修补

安全
美国网络安全和基础设施安全局(CISA)已经向各联邦机构发去警示,敦促其在平安夜前修补受 Log4Shell 漏洞影响的系统。

美国网络安全和基础设施安全局(CISA)已经向各联邦机构发去警示,敦促其在平安夜前修补受 Log4Shell 漏洞影响的系统。昨日,该机构已将 CVE-2021-44228 和其它 12 个安全漏洞列入“主动漏洞利用目录”。基于此,相关联邦机构将有十天时间来测试有哪些内部应用程序 / 服务器使用了 Log4j Java 库、检查系统是否易受 Log4Shell 攻击、并及时修补受影响的服务器。

由目录时间表可知,上述工作需在 12 月 24 日之前完成。

此外,CISA 于昨日提出了一个专门的网页,旨在为美国公共和私营部门提供有关 Log4Shell 漏洞缓解措施的指导。

该机构计划在该页列出所有易受 Log4Shell 漏洞影响的软件供应商,以便大家即使获取最新且全面的补丁信息。

尽管自上周以来,厂商已经陆续推出了紧急补丁,但要等到正式融合于相关软件,显然还需要再等待一段时间。

虽然 CISA 工作人员仍在通过 GitHub 收集项目信息,但安全研究员 Royce Williams 已经编制了哪些产品易受 Log4Shell 漏洞攻击影响的一份列表(其中涵盖了 300 多家供应商),此外还有一份由荷兰国家网络安全中心维护的名录。

至于造成本次风波的罪魁祸首,其源于 Log4j 这个 Java 库中的一个 bug 。Log4j 为许多 Java 桌面应用程序 / 服务器软件提供了日志创建和管理功能,但几乎无处不在的大规模漏洞利用,已将各个行业逼到了相当危险的境地。

另一个需要考虑的是,思科与 Cloudflare 均表示,他们曾于漏洞公开两周前首次看到 Log4Shell 被利用的迹象 —— 确切说法是 12 月 1 日发生了首次攻击(而不是上周)—— 意味着安全团队需要扩大相关响应事件的调查。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2023-06-27 11:19:28

2022-04-15 19:28:31

漏洞网络攻击Windows

2022-03-29 16:32:44

漏洞网络安全

2023-11-14 22:16:36

2022-01-06 11:55:02

Aquatic PanLog4Shell漏洞

2016-09-30 01:01:36

美国联邦机构大数据

2021-11-05 15:18:22

漏洞网络安全网络攻击

2022-03-03 13:30:55

Log4j漏洞网络攻击

2022-01-28 12:07:29

Log4j漏洞网络攻击

2022-01-07 10:02:31

Log4j漏洞网络攻击网络安全

2023-06-05 18:19:44

2023-04-23 20:31:57

2021-12-26 00:01:51

Log4Shell漏洞服务器

2021-11-04 09:07:15

漏洞CISA网络攻击

2009-05-13 16:03:54

2013-09-13 16:09:29

美国联邦CIO云行业

2013-08-23 10:14:50

美国联邦政府云计算

2012-02-08 09:09:32

OracleGoogle

2021-12-15 06:21:29

Log4Shell漏洞网络攻击

2009-03-18 13:59:10

云计算安全Gmail
点赞
收藏

51CTO技术栈公众号