CISA主管:Log4j漏洞影响巨大 安全业面临一场持久战

美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。(截图 via NIST)在周一的电话会议期间,C...

微软公开macOS漏洞“Powerdir”细节 苹果已更新修复

Microsoft's 365 Defender Research 团队今天上午公开了称之为“Powerdir”的 macOS 漏洞细节,该漏洞让攻击者绕过 Transparency、Consent 和 Control(TCC)技术,获得对受保护数据的未授权访问。在 12 月发布的 macOS Monterey 12.1 更新中,苹果已经解决了 CVE-2021-30970 漏洞,因此已经更新到最新版...

密苏里州州长仍坚持要起诉分享教育部门网站安全漏洞的记者

据Techdirt报道,密苏里州州长迈克·帕森仍坚持要起诉分享该州教育部门网站安全漏洞的记者。《圣路易斯邮报》记者近日发现,该州初等和中等教育部门(DESE)网站的程序设计非常不安全,其漏洞可以让任何人发现系统中每个教师和管理人员的社会安全号码(包括那些不再受雇的人)。对该漏洞的报道完全是按照道德披露的最佳做法进行的--获得足够的漏洞证据,提醒州政府注意这个问题,在漏洞被修复之前不发表任何东西。美国联...

复旦教授发现400多个Android漏洞 谷“鸽”16个月后才修复

去年 9 月向谷歌提交的 400 多个漏洞,一直拖到今年年底才修复完。而且还不是一般的小漏洞,是让“市面所有活着的安卓设备变砖头”的高危漏洞。这些漏洞由复旦大学计算机学院的一位教授杨珉与他的同事们一起整理提交。杨珉教授公开了几封与Android安全团队之间的往来邮件,表示自漏洞提交到被Google修复以来,不知道收到了多少次 Delay:嗯,就像是这样的:不幸的是,为了确保这个漏洞在发布前被完全解决,...

微软发布导致Exchange服务器故障的FIP-FS Y2K22漏洞修复方案

就在前天跨年时,微软的Exchange用户被一个2022年虫影响,该错误阻止了电子邮件的发送。FIP-FS反恶意软件扫描器中的"2022年"日期移出错误导致系统提示"FIP-FS扫描过程初始化失败。这个错误让许多系统管理员的跨年夜庆祝活动戛然而止,微软在假期也没有闲着,短短两天就针对这一问题发布了一个官方修复。任何遇到该问题的人都可以手动应用该修复程序,或使用自动脚本来处理故障。微软在其支持论坛的帖子...

Microsoft Defender获得新功能以对抗Log4j高位漏洞

微软已经宣布对其安全软件Microsoft Defender的云端版本进行更新,以对抗Log4j漏洞。Log4j大部分已经打上了补丁,但仍然可以影响一些服务器,这些服务器可以使用微软防御者的帮助。微软透露,自12月中旬以来,它一直在为Microsoft Defender for 365发布更新,增加了检测和打击Log4j漏洞的自动方法。现在,Defender可以持续观察和识别漏洞。最新版本可以发现有漏...

阿里云:早期未意识到Apache log4j2漏洞情况的严重性 将强化漏洞管理

12月23日下午消息 今日,阿里云在其官方微信公众号发布关于开源社区Apache log4j2漏洞情况的说明。说明指出,Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。说明中,阿里表示,近日,阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache...

比利时公开承认遭Log4j漏洞攻击 导致国防部部分网络宕机

比利时政府官员公开承认遭到近期曝光的 Apache Log4j 漏洞网络攻击。本次攻击导致比利时国防部的部分计算机网络自周四以来一直处于关闭状态。发言人 Olivier Séverin 告诉新闻出版物 VRT:“整个周末我们的团队都被动员起来控制问题,继续我们的活动并警告我们的合作伙伴。优先事项是保持网络运行。我们将继续监测这一情况”。Log4j 是一个广泛使用的记录软件,存在于数以亿计的设备中。据微...

Log4j未平,Logback 又起!再爆漏洞

前段时间 Log4j接连爆漏洞的事儿相比把大家都折腾的不轻,很多开发都被连夜叫起来修复漏洞。这几天终于平复一些了。可是,昨晚,忽然看到技术群和朋友圈,有人开始聊Logback 又爆漏洞了。这是什么情况?难道又是远程代码调用这种重量级 bug 吗?难道又要连夜修复了么?于是,第一时间到 Logback 官网去查看了一下。果然有一条在12月22号更新的漏洞通告。漏洞编号:CVE-2021-4255...

漏洞利用接踵而至:Apache为Log4j发布2.17.0新版补丁修复

在 Log4j 漏洞曝光之后,Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本,并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归,因而易受 CVE-2021-45105 攻击的影响。据悉,这个拒绝服务(DoS)攻击的威胁级别相当之高,CVSS 评分达到了 7.5 / 10 。截图(via Bleeping Computer)具体说来是,Apac...
© 2022 LMLPHP 关于我们 联系我们 友情链接 耗时0.004209(s)
2022-05-21 20:42:14 1653136934