美国网络信息安全和基础设施建设安全局(CISA)早已向各联邦政府机构发去警告,敦促其在万圣夜前修复受 Log4Shell 系统漏洞危害的系统软件。昨日,该机构已将 CVE-2021-44228 和其他 12 个安全漏洞列入“积极漏洞检测文件目录”。根据此,有关联邦政府机构将有十天時间来检测有什么内部结构应用软件 / 网络服务器应用了 Log4j Java 库、查验系统软件是不是易受 Log4Shell 进攻、并立即修复受影响的网络服务器。
由文件目录时刻表得知,以上工作中需要在 12 月 24 日以前进行。
除此之外,CISA 于昨日明确提出了一个专业的网页页面,致力于为美国公共性和利益相关者给予相关 Log4Shell 系统漏洞减轻对策的具体指导。
该机构方案在该页列举全部易受 Log4Shell 系统漏洞危害的手机软件经销商,便于大伙儿即使获得全新且全方位的补丁包信息内容。
虽然自上星期至今,生产商早已相继发布了应急补丁包,但要直到宣布结合于专业软件,显而易见还必须再等候一段时间。
尽管 CISA 工作员仍在根据 GitHub 搜集项目信息,但安全性研究者 Royce Williams 早已制定了什么商品易受 Log4Shell 系统漏洞进攻危害的一份目录(在其中包含了 300 好几家经销商),除此之外也有一份由西班牙我国网络信息安全核心维护保养的名单。
对于导致此次事件的元凶,其来源于 Log4j 这一 Java 库文件的一个 bug 。Log4j 为很多 Java 桌面应用程序流程 / 服务器程序给予了日志建立和监管作用,但几乎无所不在的规模性漏洞检测,已将每个领域逼到了非常凶险的处境。
另一个必须考虑到的是,思科交换机与 Cloudflare 均表明,她们曾于系统漏洞公布两个星期前初次见到 Log4Shell 被充分利用的征兆 —— 准确观点是 12 月 1 日发生了初次进攻(而不是上星期)—— 代表着安全性精英团队必须扩张有关回应事情的调研。