12月22日,美国国土安全部(DHS)部长亚历杭德罗·N·马约诺斯 (Alejandro N. Mayorkas)发文章表明,为了更好地解决近期发觉的 log4j 系统漏洞,单位已经扩张Hack DHS系统漏洞悬赏金方案的范畴,包含附加的鼓励对策,以发觉和修复系统软件中与log4j相关的系统漏洞。
上星期,国土安全部发布了Hack DHS系统漏洞悬赏金方案,容许通过审核的网络信息安全科研工作人员发觉和汇报外界 DHS 系统软件中的系统漏洞,每一个汇报的不正确可得到达到 5,000 美金的奖赏。
这一准备也容许通过审核的网络黑客参加,她们必须公布所看到的系统漏洞及其相关系统漏洞的详细资料、网络攻击怎样运用它及其怎么使用它来浏览来源于 DHS 系统软件的信息内容。
DHS 会在48 钟头内认证全部汇报的网络安全问题,并在15天或更长期内修补,这实际在于系统漏洞的多元性。
本次Hack DHS的扩张方案源于上周五由美国网络信息安全和基本构造安全局(CISA)传出的应急命令,该指令命令联邦政府民事法律行政机关组织在12月23日以前修复被积极主动使用的Log4Shell系统漏洞。
CISA 为 Log4Shell 缺点给予了一个 专业网页页面,在其中包括经销商和受影响机构的补丁包信息内容,并公布了一个 Log4j 扫描仪程序流程来搜索易受攻击的应用软件。
除此之外,CISA 还与全世界的网络信息安全组织和别的美国联邦政府组织一起公布了一份协同项目分析报告,在其中包括处理 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 网络安全问题的减轻手册。
参照来源于:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/