CISA 宣布 Log4j 漏洞的国际联合报告和开源扫描程序

发布时间：2021-12-29 21:42:29 所属栏目：安全来源：互联网

导读：日前，美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)联合澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS)、新西兰计算机应急响应小组(CERT NZ)、新西兰国家网络安全中心 (NZ NCSC) 和英国国家网络安全中心 (NCSC-UK)

日前，美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)联合澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS)、新西兰计算机应急响应小组(CERT NZ)、新西兰国家网络安全中心 (NZ NCSC) 和英国国家网络安全中心 (NCSC-UK) 联合发布了一份名为《缓解 Log4Shell 和其他与 Log4j 相关的漏洞》的联合网络安全报告。

该报告包含了Log4j 相关漏洞的技术细节、以及针对不同类型的企业的详细缓解措施：

供应商
拥有 IT 和云资产的受影响组织
拥有 OT/ICS 资产的受影响组织

点此查阅该报告 PDF 的版本。

除了发布联合公告外，CISA 还开源了一款名为 “log4j-scanner” 的漏洞扫描程序，该程序可为 log4j 远程代码执行漏洞 (CVE-2021-44228 & CVE-2021-45046) 提供扫描解决方案，识别除易受 log4j 漏洞攻击的深层 Web 服务。

为了避免重复造轮子，该扫描程序的构建过程参考了下列项目：

log4-scanner - Log4j 漏洞扫描框架。
dns - Python 中的简单 DNS 服务器(UDP 和 TCP)。
ldap - 包含有用的代码来测试 lookup() 调用。
可在此 GitHub 仓库查看该漏洞扫描程序的源代码。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

促进网络安全科普共筑	开源软件安全度走向成
首席信息安全官依然会	如何创建有弹性的网络