12月22日，美國(guó)國(guó)土安全部(DHS)部長(zhǎng)亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas)發(fā)推文表示，為了應(yīng)對(duì)最近發(fā)現(xiàn)的 log4j 漏洞，部門(mén)正在擴(kuò)大Hack DHS漏洞賞金計(jì)劃的范圍，包括額外的激勵(lì)措施，以發(fā)現(xiàn)和修補(bǔ)系統(tǒng)中與log4j有關(guān)的漏洞。

[[441776]]

上周，國(guó)土安全部推出了Hack DHS漏洞賞金計(jì)劃，允許經(jīng)過(guò)審查的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)和報(bào)告外部 DHS 系統(tǒng)中的漏洞，每個(gè)報(bào)告的錯(cuò)誤可獲得高達(dá) 5,000 美元的獎(jiǎng)勵(lì)。

這一計(jì)劃也允許經(jīng)過(guò)審查的黑客參與，他們需要披露所發(fā)現(xiàn)的漏洞以及有關(guān)漏洞的詳細(xì)信息、攻擊者如何利用它以及如何使用它來(lái)訪(fǎng)問(wèn)來(lái)自 DHS 系統(tǒng)的信息。

DHS 會(huì)在48 小時(shí)內(nèi)驗(yàn)證所有報(bào)告的安全漏洞，并在15天或更長(zhǎng)時(shí)間內(nèi)修復(fù)，這具體取決于漏洞的復(fù)雜性。

此次Hack DHS的擴(kuò)大計(jì)劃源自上周五由美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)結(jié)構(gòu)安全局(CISA)發(fā)出的緊急指令，該指令命令聯(lián)邦民事行政部門(mén)機(jī)構(gòu)在12月23日之前修補(bǔ)被積極利用的Log4Shell漏洞。

CISA 為 Log4Shell 缺陷提供了一個(gè) 專(zhuān)門(mén)頁(yè)面，其中包含供應(yīng)商和受影響組織的補(bǔ)丁信息，并發(fā)布了一個(gè) Log4j 掃描程序來(lái)查找易受攻擊的應(yīng)用程序。

除此以外，CISA 還與世界各地的網(wǎng)絡(luò)安全機(jī)構(gòu)和其他美國(guó)聯(lián)邦機(jī)構(gòu)一起發(fā)布了一份聯(lián)合咨詢(xún)報(bào)告，其中包含解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 安全漏洞的緩解指南。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/

 

分享文章：美國(guó)最新的HackDHS漏洞賞金計(jì)劃已包含log4j相關(guān)漏洞
分享路徑：http://uogjgqi.cn/article/djhgese.html