【bang xep hạng y】Mỹ yêu cầu vá lỗ hổng Log4Shell trước Giáng sinh
Trước đó,ỹyêucầuválỗhổngLogShelltrướcGiábang xep hạng y cơ quan này đã đưa lỗi Log4Shell (CV-2021-44228) vào danh mục các lỗ hồng đang bị khai thác, cùng với 12 lỗ hổng an ninh khác.
Theo yêu cầu của CISA, các cơ quan liên bang có 10 ngày để rà soát các ứng dụng và máy chủ nội bộ đang sử dụng thư viện Log4j Java, kiểm tra việc các hệ thống có bị khai thác Log4Shell hay không và tiến hành vá lỗi các máy chủ bị ảnh hưởng.
Mọi công đoạn sẽ phải hoàn thành vào ngày 24/12.
Ngoài ra, CISA cũng ra mắt trang web hướng dẫn các cơ quan công quyền và khối tư nhân liên quan lỗ hổng bảo mật này.
CISA có kế hoạch lên danh sách tất cả các nhà cung cấp phần mềm có sản phẩm dễ bị tấn công bởi lỗ hổng Log4Shell lên trang web, đồng thời là trung tâm để các công ty nhận các thông tin về bản vá.
Các bản vá lỗi cho thư viện Log4j đã có từ tuần trước, nhưng các nhà cung cấp phần mềm cũng cần thời gian để kết hợp các bản vá này vào sản phẩm của riêng họ.
Nhà nghiên cứu an ninh Royce Williams đã lên danh sách hơn 300 nhà cung cấp phần mềm bị ảnh hưởng bởi lỗ hổng Log4Shell.
Lỗ hổng Log4Shell được phát hiện từ hôm 9/12, là lỗi trong Log4j, một thư viện Java cung cấp khả năng tạo và quản lý nhật ký cho các ứng dụng máy tính để bàn và phần mềm máy chủ Java.
Mặc dù là lỗ hổng bảo mật mới, Log4Shell được coi là một trong những lỗ hổng bảo mật nghiêm trọng nhất từng được phát hiện, chủ yếu do nó được sử dụng phổ biến tại các nhà sản xuất phần mềm doanh nghiệp, có khả năng bị khai thác dễ dàng cũng như khả năng chiếm quyền điều khiển hệ thống từ xa.
Vài ngày sau khi được tiết lộ, lỗ hổng bảo mật này đã bị khai thác hàng loạt, xuất hiện trên nhiều phần mềm mã độc khác nhau, chủ yếu được sử dụng bởi các nhóm gián điệp mạng và phần mềm tống tiền.
Cisco và Cloudflare cho biết họ đã thấy các dấu hiệu lỗ hổng Log4Shell bị khai thác 2 tuần trước khi thông tin được công bố, có nghĩa là các nhóm bảo mật cần mở rộng cuộc điều tra phản ứng sự cố, các dấu hiệu có thể bị khai thác đối với mạng lưới của họ từ đầu tháng tới nay chứ không chỉ bắt đầu từ tuần trước. Cụ thể, các cuộc tấn công đầu tiên được ghi nhận từ ngày 1/12.
Vinh Ngô (Theo The Record)
Lỗ hổng trong Apache Log4j ảnh hưởng lớn, NCSC nhắc các tổ chức kiểm tra hệ thống
Trung tâm NCSC vừa tiếp tục lưu ý các cơ quan, tổ chức, doanh nghiệp về lỗ hổng bảo mật trong Apache Log4j. Bởi lẽ, lỗ hổng này đang được khai thác rộng rãi, đặt nguy cơ mất an toàn thông tin của các đơn vị ở mức nguy hiểm.
(责任编辑:World Cup)
- ·Thu nhập ổn định nhờ trồng bưởi hữu cơ
- ·Cách thức thay đổi thông tin đăng ký thuế khi đổi sang căn cước công dân gắn chíp
- ·Chứng khoán 20/6: Ông lớn dồn dập mất tỷ USD, VN
- ·Tân Hoàng Minh đề xuất phương án trả nợ cho nhà đầu tư
- ·Giảm ùn ứ, thúc đẩy xuất khẩu nông sản tại cửa khẩu biên giới phía Bắc
- ·Nội luật hóa CPTPP: Hiện thực hóa lợi ích cho ngành dệt may
- ·Chủ tịch tỉnh trao nhiều Huân chương cho tập thể, cá nhân Cục Hải quan Khánh Hoà
- ·Hải quan Bình Phước phấn đấu giữ vững vị trí trong "Câu lạc bộ nghìn tỷ"
- ·Huy động nguồn lực thúc đẩy phát triển kinh tế tuần hoàn
- ·Bún, miến, phở, bánh đa thoát lệnh kiểm soát của châu Âu
- ·Xem xét tăng chuyến trên các đường bay từ Hà Nội, Tp Hồ Chí Minh dịp nghỉ Lễ 30/4
- ·Hà Nội: Mỗi năm thu 20
- ·Hải quan Thừa Thiên Huế quyết tâm thực hiện hiệu quả nhiệm vụ năm 2021
- ·Hải quan Lào Cai cần nỗ lực hoàn thành chỉ tiêu thu ngân sách 1.735 tỷ đồng
- ·Không để xảy ra tình trạng lấn chiếm, tái lấn chiếm đất công
- ·Cưỡng chế thuế xuất nhập khẩu đối với 3 doanh nghiệp
- ·Cục Thuế tỉnh Bắc Giang có thêm 2 phó cục trưởng
- ·Kiệt sức kiếm sống: Ngày đứng dây chuyền nhà máy, tối tất tả bưng bê nhà hàng
- ·Viettel đứng số 1 về thành tích tại Giải thưởng Kinh doanh quốc tế 2023
- ·Hàng loạt vụ mất tiền trong tài khoản vì bị lừa đảo qua điện thoại