权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
网络安全和基础设施安全局须在平安夜前修复漏洞
2021-12-14

官员们强调了维护软件材料清单对于标记“Log4j”漏洞的重要性。

网络安全和基础设施安全局(Cybersecurity and Infrastructure Security AgencyCISA)已将一个常见软件库中发现的严重漏洞添加到其已知漏洞列表中,并将在圣诞节前进行补救。

该漏洞影响到log4j,这是Apache提供的一种日志服务,用于商业和定制软件应用程序。这种漏洞允许攻击者在受影响的设备上远程执行代码,研究人员担心,未经授权的加密挖掘和僵尸网络扩展只是恶意参与者如何使用它的开始。

CISA于周五将该漏洞以及其他12个漏洞添加到其已知漏洞目录中。log4j漏洞在严重性等级上为百分之百,必须在1224日前根据CISA创建并首次发布目录的约束性操作指令进行补救。

CISA主管延·东利在周六强调log4j漏洞的新闻稿中表示:我们正在采取紧急行动,推动该漏洞的缓解,并检测任何相关的威胁活动。我们已将此漏洞添加到已知已利用漏洞的目录中,这迫使联邦民事机构,向非联邦合作伙伴发出信号,进行紧急修补或补救此漏洞。我们正在主动联系网络可能易受攻击的实体,并利用我们的扫描和入侵检测功能帮助政府和行业合作伙伴识别漏洞暴露或利用漏洞的工具。

东利指出,最终用户在某种程度上仍将任由其供应商摆布,并强调该机构通过联合网络防御协作与私营部门合作的努力,其中包括云计算和其他互联网及网络安全服务提供商的参与。

东利说:最终用户将依赖其供应商,供应商社区必须立即识别、缓解和修补使用此软件的各种产品。供应商还应与其客户沟通,以确保最终用户知道其产品包含此漏洞,并应优先考虑软件更新。联合网络防御协作计划旨在管理此类风险。我们已经成立了一个联合网络防御协作计划高级领导小组,以协调集体行动,确保共同了解这种漏洞和威胁活动的普遍性。

东利和国家安全局网络安全主管罗布·乔伊斯都利用这种情况强调了维护产品软件材料清单的重要性,无论这些产品是购买的还是内部制造的。

乔伊斯周五在推特上写道:由于软件框架中广泛存在log4j漏洞,甚至包括NSAGHIDRA,因此log4j漏洞是一个重大的攻击威胁。这是一个案例研究,说明了为什么软件物料清单(SBOM)概念对于理解风险非常重要。(国家工业信息安全发展研究中心 张昇)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354