XiaoMi-AI文件搜索系统
World File Search SystemLog4Shell
Apache Log4j2 在航空、航海领域的应用... - JYX
在这篇关于网络安全的硕士论文中,提出了使用 ACARS、ADS-B 和 AIS 电信协议进行无线实验的可访问方法,使用软件定义的无线电,并利用开源和免费软件。这些协议被用作利用 Apache Log4j2 Java 库漏洞的攻击媒介。介绍了使用故意存在漏洞的软件研究 CVE-2021-44228“log4shell”远程代码执行和相关漏洞的方法。通过研究协议规范来评估电信协议传输 CVE-2021-44228 和相关网络攻击字符串的能力,以确定可能的攻击媒介。通过实验展示了可能利用关键任务和生命安全信息系统的实际场景。当满足确定的先决条件时,发现所有三种研究协议都容易受到无线 log4shell 网络攻击。此外,还介绍了有关高严重性 Log4j2 拒绝服务漏洞的新发现。
软件力量:开源软件的经济和地缘政治影响
1.Linux 基金会和 OpenSSF,“开源软件安全动员计划”,白皮书,2022 年,第 3 页。2.ANSSI 和 CEA,“ANSSI 和 CEA 加强网络安全合作”,新闻通讯,2022 年 6 月 29 日,网址:www.ssi.gouv.fr。3.有必要证明“开源”一词的选择是合理的,并将其与“自由软件”一词区分开来。自由软件基于自由软件基金会的 Richard Stallman 在 1980 年代后期定义的四项自由:运行程序的自由、研究程序如何运行的自由、重新分发副本的自由(免费或付费)、改进的自由以及共享副本的自由。通过开源开发的软件通常满足“自由”软件的要求,反之亦然;事实上,人们经常提到“自由和开源软件”。但是,开源是指一种开发软件的方式,而不是一种许可证,因为大多数专有软件中都有开源组件。在本研究中,我们更喜欢使用“开源”一词,它不加区分地指代软件或其组件。4.摘要,“2022 年开源安全和风险分析报告”,2022 年 4 月; K. Szulik,“开源无处不在:调查结果”,Tidelift,2018 年 4 月 12 日,网址:https://blog.tidelift.com;T. Herr,“应对 Log4Shell 漏洞并从中吸取教训”,向美国参议院国土安全和政府事务委员会作证,2022 年 2 月 8 日。5.D. Nalley,“应对 Log4Shell 漏洞并从中吸取教训”,向美国参议院国土安全和政府事务委员会作证,2022 年 2 月 8 日。
网络安全和基础设施安全局 (CISA) 网络安全咨询委员会 2021 年 12 月 10 日会议摘要
Easterly 主任欢迎与会者并介绍了委员会主席南方公司的 Tom Fanning 先生和副主席万事达卡的 Ron Green 先生。Easterly 主任向委员会通报了自 2021 年 12 月 CSAC 启动会议以来 CISA 采取的行动,包括减轻 Log4Shell 漏洞的风险、为俄罗斯不公正入侵乌克兰而出现的潜在网络威胁做准备、发起 CISA 的 Shields Up 运动,并在面对可能针对我们关键基础设施的网络攻击时宣传做好准备而不是恐慌的信息。Easterly 主任强调了通过的网络事件报告立法和综合预算,以增加 CISA 的整体资金。Easterly 主任重申了她对委员会在这个充满挑战的运营环境中提供的反馈和建议的感谢。
保护开源软件生态系统
执行摘要 自 2021 年发现 Log4Shell 漏洞以来,拜登-哈里斯政府加强了保护开源软件生态系统的承诺。i 2023 年 3 月,拜登-哈里斯政府发布了《国家网络安全战略》(NCS),其中指出,“联邦政府将与私营部门和开源软件社区合作,继续投资开发安全软件,包括内存安全语言和软件开发技术、框架和测试工具。” ii 这一承诺为国家网络总监办公室 (ONCD) 通过 2023 年 NCS 实施计划倡议 4.1.2“促进开源软件安全和采用内存安全编程语言”来促进开源软件开发实践的安全性提升奠定了基础。” iii
保存日期!Apache Log4j 漏洞指南 - CISA
• 网络 – CHAMP© 演示 会议欢迎来自世界各地的所有工业控制系统 (ICS) 社区成员,包括刚接触这些概念的人和具有多年经验的主题专家。我们期待在那里与您见面,并继续与 ICS 社区建立合作伙伴关系。有关更多信息,请通过以下方式与我们联系:ICSJWG.Communications@Cisa.dhs.gov。Apache Log4j 漏洞指南 CISA 及其合作伙伴通过联合网络防御协作组织,正在应对 Apache Log4j 软件库版本 2.0-beta9 至 2.14.1(称为“Log4Shell”)中一个关键的远程代码执行 (RCE) 漏洞 (CVE-2021- 44228) 的积极、广泛利用。Log4j 广泛应用于各种消费者和企业服务、网站和应用程序以及运营技术产品中,以记录安全和性能信息。未经身份验证的远程参与者可以利用此漏洞控制受影响的系统。我们敦促各组织升级到 Log4j 2.17.1 (Java 8)、2.12.4 (Java 7) 和 2.3.2 (Java 6),并查看和监控 Apache Log4j 安全漏洞网页以获取更新和缓解指南。