白菜网送体验金网站大全

联邦商业委员会(FTC)周二警告称，将联结其法律力量讲究未能保护耗尽者数据免受Log4j流弊风险的公司和供应商。

警告中写谈：“FTC盘算推算哄骗其全部法律职权讲究未能遴荐合理步伐保护耗尽者数据免遭Log4j或访佛已知流弊的公司。”

联邦商业委员会默示，那些将耗尽者数据清楚、未实时修补流弊从而为流弊哄骗大开大门，由此可能导致的“个东谈主信息丢失或清楚、经济损成仇其他弗成逆转的伤害”的公司，正濒临着无数罚金等严重的法律效果。

它十分提到了联邦商业委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要律例，其中针对毁伤耗尽者的行动规则了财富抵偿和其他馈遗。Gramm-Leach-Bliley条件金融机构保护敏锐数据。

“至关要紧的是，依赖Log4j的公司过甚供应商目下就遴荐行动，以减少抵耗尽者形成伤害的可能性，以免受FTC的告状风险，”好意思国联邦商业委员会敦促谈。

好意思国联邦商业委员会的警告中提到了对Equifax的诉讼，Equifax应承支付7亿好意思元已了结好意思国联邦商业委员会、耗尽者金融保护局和总共50个州因恶名昭著的2017年数据清楚而遴荐的行动。

字据好意思国联邦商业委员会，由于Equifax未能修补已知流弊，“弗成逆转地使得1.47亿耗尽者的个东谈主信息遭到自大”。它说，若是您的公司因Log4Shell或任何访佛的已知流弊而无法保护耗尽者数据免受自大，瞻望会有更多交流的情况发生。

好意思国联邦商业委员会冷落企业背叛汇注安全和基础设施安全局(CISA)的携带，以查验他们是否使用Apache的Log4j日记库，该库被称为Log4Shell流弊集群的腹黑。

CISA冷落白菜网送体验金网站大全，发现他们正在使用Log4j的公司应该引申以下操作：

12月17日，CISA发布了一项紧要辅导，条件联邦民事部门和机构在12月23日星期四之前立即修补其面向互联网的系统，以处置Log4j流弊。联邦机构还有五天时分(直到12月28日)论说受Log4Shell影响的居品，包括供应商和应用设施称号和版块，以及已遴荐的步伐(举例更新、缓解、从代理汇注会删除)以龙套哄骗Log4Shell的尝试。

CISA为Log4Shell流弊提供了一个迥殊的页面，其中包含修补信息，同期发布了一个Log4j扫描设施来寻找潜在的易受报复的Web工作。

领先的流弊——CVE-2021-44228——于12月9日被发现，并在数小时内受到报复。铁心12月15日，已有跨越180万次报复，针对一半的公司汇注，使用至少70个不同的坏心软件系列，以哄骗三个流弊：

1. Log4Shell费事代码引申(RCE)流弊激发了更严重的突变，并导致……

2. Apache脱手补丁中存在隔断工作(DoS)的可能性。另外，还有……

3. 第三个流弊，一个访佛于Log4Shell的DoS流弊，它也影响了日记库。它的不同之处在于它触及Context Map查找，而不是对CVE-2021-44228中触及的LDAP工作器的Java定名和目次接口(JNDI)查找：允许报复者引申引申Log4Shell流弊中复返的任何代码的查找。

至此，Conti绑架软件团伙一经领有竣工的报复链数周了。

在周一的更新中，微软默示12月底莫得任何缓解：该公司不雅察到某国度资助的汇注行恶报复者在月底之前一直在探伤系统的Log4Shell流弊。微软安全商讨东谈主员警告说：“微软不雅察到报复者使用很多交流的清单时间来定位沟通。一经不雅察到一些巧诈的敌手(如民族国度行动者)正在哄骗这些流弊。扩大哄骗这些流弊的可能性很大。”

商讨东谈主员说：“在12月的临了几周，流弊哄骗的尝试一直在陆续。咱们不雅察到很多报复者在他们现存的坏心软件器用包和战略中添加了对这些流弊的哄骗，从硬币矿工得手动键盘报复。”

反馈Log4j流弊最具挑战性的方面之一等于简便地识别使用Log4j的组织中的树立。

“由于它是一个跨平台、平庸使用的软件库，它的部署位置和步地有着惊东谈主的万般性：它不错是一个自行装置的应用设施包，与另一个应用设施包绑缚在一谈，看成磁盘上的另一个文献，大略镶嵌到另一个应用设施中。”Sevco Security的斡旋首创东谈主兼首席引申官JJ Guy周三告诉Threatpost。

他补充说：“更倒霉的是，它被用于从云照管工作到工作器应用设施，以致是固定功能的镶嵌式树立的总共规模。连续互联网的toaster很可能容易受到Log4Shell的报复。”

Guy说：“咱们目下正处于分流阶段，在这一阶段，如系统照管或软件照管器用等基本器用不错提供初步分类。”

一个问题：还有哪些树立需要分类?

Guy说：“关于董事会、首席引申官、首席信息官或首席信息安全官等组织携带者来说，要对这些分类收尾充满信心，他们不仅需要论说已分类的机器，还要论说有些许机器正在恭候分类。”“论说‘待分类’统计数据需要竣工的资产清单，包括哪些机器已得胜分类。”

他称这是每个组织的叮嘱步伐中的“一个更大的掩盖挑战”，因为很少有企业领有全面的资产清单，“尽管几十年来它一直是每个安全合规操办的首要条件。”

本文翻译自：https://threatpost.com/ftc-pursue-companies-log4j/177368/如若转载，请注明原文地址。

• 白菜
• 网站
• 体验
• 网送
• 金网站