最新的美国HackDHS漏洞赏金计划已包含与log4j相关的漏洞为了应对最近发现的log4j漏洞,该部门正在扩大HackDHS漏洞赏金计划的范围,以包括额外的激励措施来查找和修补系统中的log4j相关漏洞,文说。上周,国土安全部启动了HackDHS漏洞赏金计划,允许经过审查的网络安全研究人员发现和报告外部DHS系统中的漏洞,每个报告的漏洞最高可获得5,000美元。该计划还允许经过审查的黑客参与,他们需要披露他们发现的漏洞以及有关漏洞的详细信息、攻击者如何利用它以及如何使用它从DHS系统访问信息。国土安全部会在48小时内验证所有报告的安全漏洞,并在15天或更长时间内进行补救,具体取决于漏洞的复杂程度。HackDHS的扩张源于美国网络安全和基础设施安全局(CISA)上周五发布的一项紧急指令,命令联邦民政机构在12月23日之前修补被积极利用的Log4Shell漏洞。CISA有一个专门针对Log4Shell缺陷的页面,其中包含供应商和受影响组织的补丁信息,并发布了一个Log4j扫描器来查找易受攻击的应用程序。除此之外,CISA还与世界各地的网络安全机构和其他美国联邦机构发布了联合咨询,以解决CVE-2021-44228、CVE-2021-45046和CVE-2021-45105Log4j安全漏洞缓解指南。参考来源:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/
