CISA 公布 Log4j 漏洞的国际联合报告和开源扫描程序-低调大师

CISA 公布 Log4j 漏洞的国际联合报告和开源扫描程序

2021-12-27 625

日前，美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)联合澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS)、新西兰计算机应急响应小组(CERT NZ)、新西兰国家网络安全中心 (NZ NCSC) 和英国国家网络安全中心 (NCSC-UK) 联合发布了一份名为《缓解 Log4Shell 和其他与 Log4j 相关的漏洞》的联合网络安全报告。

该报告包含了Log4j 相关漏洞的技术细节、以及针对不同类型的企业的详细缓解措施：

供应商
拥有 IT 和云资产的受影响组织
拥有 OT/ICS 资产的受影响组织

点此查阅该报告 PDF 的版本。

除了发布联合公告外，CISA 还开源了一款名为 “log4j-scanner” 的漏洞扫描程序，该程序可为 log4j 远程代码执行漏洞 (CVE-2021-44228 & CVE-2021-45046) 提供扫描解决方案，识别除易受 log4j 漏洞攻击的深层 Web 服务。

为了避免重复造轮子，该扫描程序的构建过程参考了下列项目：

log4-scanner - Log4j 漏洞扫描框架。
dns - Python 中的简单 DNS 服务器(UDP 和 TCP)。
ldap - 包含有用的代码来测试 lookup() 调用。

可在此 GitHub 仓库查看该漏洞扫描程序的源代码。

本文转自OSCHINA

本文标题：CISA 公布 Log4j 漏洞的国际联合报告和开源扫描程序

本文地址：https://www.oschina.net/news/175478/cisa-publish-joint-advisory-and-log4-scanner

【责任编辑：未丽燕 TEL：（010）68476606】

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202112/696793.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

调研 | 安全主管2022年工作重点：进步而非彻底变革

安全主管纷纷表示，由于近期公司IT环境和业务环境的转变、威胁形势的发展变化和新兴风险的涌现，自身工作重点也随之做出调整，反映出相应的安全需求。安全主管正在推进面向2022年的整体策略，列出支持企业弹性的各项重点工作。为编撰年度《安全重点研究》，网络安全媒体CSO对多位首席信息安全官(CISO)进行了问卷调查。调查结果表明，CISO计划在未来几个月采取一些举措，但不会专注于加强任何单个工具，也不会依赖任何单一方法。相反，他们的工作重点反映出安全职能的演变，如今的安全职能必须是相互依赖的策略、流程和技术能力的集合，这些策略、程序和技术能力共同应对CISO所在企业面临的特定风险和威胁。此外，受访CISO表示，由于近期公司IT环境和业务环境的转变、威胁形势的发展变化和新兴风险的涌现，自身工作重点也随之做出调整，反映出相应的安全需求。简而言之，CISO认为自己2022年的首要任务是跟上步伐，变得更好。威胁形势的变化推动工作重点转变上云要求凸显。IT正将应用与数据层解耦。首席信息官(CIO)正转向更具组合性的架构，并在推动自身数字化进程。 Constellation Research...

2021-12-27

463

2022年将是越来越多的组织开始利用应用程序安全(AppSec)作为业务推动因素的一年。传统上，AppSec被视为阻碍业务进展的资源密集型障碍。但是现在，这种观念发生了颠覆，组织逐渐意识到AppSec与我们构建、部署和运行软件的方式密不可分，而且它对于企业安全和合规性同样至关重要。同时，通过AppSec自动化还可以减少保护软件所需的时间和资源。对于软件开发的企业而言，2022年将是AppSec重要性愈发凸显的一年。当AppSec工具自动运行，并且结果与现有流程和问题追踪器集成时，开发人员可以将修复安全漏洞作为其日常工作流程，无需再单个系统的手动操作，也无需逐条浏览安全团队的数千页PDF报告，来试图找到需要做的事情。当安全测试自动化并集成到安全开发过程中时，它就成为了应用程序开发的无缝部分。与此同时，企业组织也开始认识到AppSec是风险管理的关键部分，正确实施AppSec计划能够带来商业利益。好的AppSec意味着更少的软件漏洞，这也就意味着更少的灾难或令人尴尬的声誉风险，但同时也会导致更少的支持案例、更少的紧急更新、更高的生产力和更安心的客户。但是，企业组织如何才能将这些知识转化...

2021-12-27

573

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。