Log4J 相关漏洞加入美国国土安全局 DHS 漏洞赏金计划,发掘漏洞将会奖励100万美金


美国网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 和国土安全部部长 Alejandro Mayorkas 宣布扩大其“Hack DHS”漏洞赏金计划,现在与 Log4j 相关的漏洞也包含在此计划中。

Hack DHS 是美国国土安全部 (DHS)在12月14日推出的一项漏洞赏金计划,旨在识别某些 DHS 系统中潜在的网络安全漏洞,并提高该部的网络安全性能。所有经过审查的网络安全研究人士,都可以受邀访问特定的外部 DHS 系统,查找其中的漏洞并向 DHS 汇报,然后根据漏洞的重要性领取 500 ~100万美金的报酬。有意思的是,一旦有黑客完成对 DHS 外部系统的漏洞评估,他就会被邀请去 DHS 参加现场直播的黑客事件,重现他们利用漏洞的过程。

看起来 Hack DHS 是一个相当靠谱的计划:利用民间力量优化政府系统的安全性和稳定性,避免出现政府数据泄露的问题。值得一提的是,此计划是一个长期计划,预计在 2022 年分三个不同阶段进行。它甚至有法可依:根据美国第115 届国会公法 通过的 SECURE 技术法案,“国土安全局有权利为评估 DHS 安全性能问题的人支付报酬”。


相關推薦

2023-09-13

买设备进行测试。若提交了符合守护计划收录要求的有效漏洞即可报销产品购买费用,否则不予报销(提供发票)。 漏洞利用要求 官方最新稳定版ROM 浏览器版本通过小米应用商店更新到最新版本 保持默认的系统设置,

2023-02-25

有 700 多份漏洞报告通过该计划提交。 chrome 至于 chrome 相关漏洞,Google 在 2022 年总共支付了 400 万美元,包括为 chrome 浏览器的 360 个漏洞支付 350 万美元,以及为 chromeOS 的 110 个漏洞支付 50 万美元。 OSS Google 作为开源领域的

2022-09-27

《保护开源软件法案》将指导 CISA(网络安全和基础设施安全局)开发一个风险框架来评估联邦政府如何使用开源代码。 CISA 还将评估关键基础设施所有者和运营商如何自愿使用相同的框架。这将确定在使用开源软件的系统中

2024-07-08

推出 kvmCTF,一项针对基于内核的虚拟机 (KVM) 管理程序的漏洞奖励计划 (VRP),于 2023 年10 月首次发布。 KVM 是一款强大的虚拟机管理程序,拥有超过 15 年的开源开发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud

2022-10-11

GB 的敏感数据,当时该数据与 AMD 即将推出的 Zen 4 处理器相关,后来随着 AMD 正式发布 Zen 4 处理器,证实了泄漏信息是真实的。 除了英特尔和 AMD,今年发生过源代码泄漏的公司还包括三星、LastPass 密码管理器,以及拥有《GTA 6

2023-06-18

有助于提供更高效和高性能的 I/O,但它也存在各种安全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出,Google 漏洞奖励计划中 60% 的提交都与 IO_uring 有关。而且 Go

2021-12-23

其中包括政府网站。 此外,美国网络安全和基础设施安全局(CISA)就命令所有联邦民事机构“必须在圣诞节前修补好与 Log4j 相关的系统”。新加坡网络安全局 (CSA) 也与关键信息基础设施 (CII) 部门针对 Log4j  漏洞举行紧急会

2022-11-03

增至 6670 万,相较 2021 年上半年增长了 30%;以及物联网相关恶意软件,相较 2021 年上半年增长 77%。 报告还指出了区域数据的一些变化。北美地区遭受的攻击增加了 2%,但仍远低于全球平均水平。欧洲的网络攻击则增加了 29%,

2021-12-20

者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcode 团队在帖子中则回应道,他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。” 根据介绍

2024-07-21

Protect AI 最新发布的一份 2024 年 7 月漏洞报告在各种大语言模型(LLM)中发现了 20 个严重漏洞。 这些漏洞是通过 Protect AI 的“huntr”漏洞赏金计划发现的,这也是全球首个 AI/ML 漏洞赏金计划。该社区由 15,000 多成员组成,在整

2021-12-16

的ES connector模块下,对lib库的分析,发现的确使用了log4j相关的库。  问题排查二:openLooKeng使用的是airlift,封装的JDK本身的log框架 同样对打包后的openLooKeng server lib库下所有的jar包进行梳理,可以看到没有log4j-api以及

2022-01-06

得了总计约 4 万美元的漏洞赏金。同时,他也分享了一些相关经验表示,确保 CDN 免受缓存中毒攻击的一个好方法是禁用错误状态代码的缓存,他认为这种缓解措施应该能阻止很大一部分的 CP-DoS 攻击。还建议使用 PortSwigger 的 Par

2022-08-15

他应用软件所使用的底层框架存在 RCE(远程代码执行)漏洞。 上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack,和其他许多应用的

2021-12-16

Log4j 中近日被曝出了一个远程代码执行漏洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序