12/29資訊更新 Log4j再傳RCE漏洞,Apache釋出2.17.1新版
因應Apache Log4j重大風險漏洞,美國網路安全暨基礎架構管理署(CISA)昨日釋出掃瞄工具,方便企業或政府IT人員掃瞄自家軟體。
名為Log4j Scanner的工具已發布在GitHub上,是由開源社群其他成員開發,旨在協助企業組織辨識可能受Log4j漏洞影響的Web服務。這個儲存庫可掃瞄CVE-2021-44228(Log4Shell)及CVE-2021-45046,兩者皆為遠端程式碼執行漏洞,CVSS 3.1風險值各為10.0及9.0。
美國政府機構CISA、FBI、國安局(NSA),以及五眼聯盟成員澳洲、紐西蘭、加拿大及英國網路安全主管機關昨(22)日發布聯合安全公告,針對Log4j三項漏洞包括CVE-2021-44228 (Log4Shell)、CVE-2021-45046及CVE-2021-45105(DoS)提供緩解指引。公告指出,手法高明的網路威脅行動者已經積極掃瞄網路以伺機開採。目前CVE-2021-44228 和CVE-2021-45046已經有積極開採的行為。
五眼聯盟國的安全指引建議企業及政府單位先找出受Log4j 多項漏洞影響的軟體產品,更新Log4j及受影響的軟體版本,再啟動尋找及部署事件回應措施來偵測是否有被開採的情形。
Apache軟體基金會已經釋出Log4j最新版本2.17.0。
各國政府對Log4j多項漏洞抱持高度警戒,尤其本周比利時國防部坦承遭不明人士開採網路系統漏洞,致部份系統中斷服務數天。
CISA上周發布緊急指令,要求美國聯邦行政部門在12月23日前,緩解對外連網系統的相關漏洞。
CISA昨日對美國媒體指出,尚未有證實對聯邦政府機關的成功入侵。
12/27相關報導 Nvidia、HPE、IBM公布受Log4j漏洞影響的產品
12/22相關報導 1.7萬個Maven Java套件受Log4j漏洞影響
熱門新聞
2024-12-29
2024-12-28
2024-12-28
2024-12-28
2024-12-27
2024-12-30
2024-12-27
2024-12-30