美國網路安全審查委員會認為Log4j漏洞的影響將持續十年以上

編輯：左右裡

7月14日，美國國土安全部（DHS）釋出了網路安全審查委員會（CSRB）成立後的第一份報告，該報告指出Log4j問題尚未終結，提出了19項針對政府和行業的可行建議，並已經由國土安全部部長Alejandro N. Mayorkas提交給拜登總統。

美國網路安全審查委員會（CSRB）是一個今年二月在美國總統喬·拜登（Joe Biden）的網路安全行政命令支援下成立的組織，該命令要求對重大網路安全事件做出全國性反應。CSRB成立後接到的第一項任務就是審查Java Log4j日誌庫中的Log4Shell漏洞。

在首次審查期間，CSRB與近80個組織和個人合作，收集調查有關Log4j事件的資訊，並制定可操作的建議，以防止和更有效地應對未來的事件。該委員會的報告和建議現已在美國國土安全部網路安全和基礎設施安全域性（CISA）官網上釋出。

Log4j是由Apache維護的開源日誌記錄元件，在VMware、IBM、Oracle、Cisco、SolarWinds等產品中都有使用，存在於網際網路的數億臺企業裝置中。也因此其Log4Shell漏洞影響範圍甚廣，被認為是近些年最重大的網路安全漏洞。

去年漏洞披露後，CISA迅速命令所有聯邦機構盡最大努力修補Log4J。在進行緊急大規模修補工作後，自漏洞披露以來CISA沒有觀察到任何重大入侵。但CSRB在進行審查後得出結論——至少在十年內Log4Shell問題的影響不會結束。

CSRB由來自美國聯邦政府和私營部門的權威網路安全領導人組成。CSRB沒有監管權力，也不是執法機構，其目的是確定和分享經驗教訓，以實現國家網路安全的進步。CSRB由國土安全部政策副部長Robert Silvers擔任主席，谷歌安全工程副總裁Heather Adkins擔任副主席。

資訊來源：美國國土安全部

轉載請註明出處和本文連結

每日漲知識

花指令

花指令是對抗反彙編的有效手段之一。正常程式碼新增花指令後，可以破壞靜態反彙編的過程，使是反彙編的結果出現錯誤。錯誤的反彙編結果會造成破解者的分析工作大量增加，進而使之不能理解程式的結構和演算法，也就很難破解程式，從而達到病毒或軟體保護的目的。

推薦文章++++

* 前中情局程式設計師因向維基解密洩露中情局駭客工具被定罪

* 聯想修復影響70多種產品型號中的三個UEFI韌體漏洞

* 熱門遊戲《老頭環》發行商萬代南宮夢遭勒索軟體攻擊

* 駭客透過虛假招聘網路釣魚竊取了5.4億美元加密貨幣

* 影響所有本田車型！Rolling-PWN漏洞可使攻擊者遠端解鎖、啟動汽車

* 加強管束科技巨頭！歐盟以壓倒性票數透過新數字監管法案

* 伊朗大型鋼鐵公司IT系統遭網路攻擊

﹀

﹀

﹀