APP下载

CISA要求美联邦-机关限时修补290项高风险软硬件漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-11-25

报价宝综合消息CISA要求美联邦-机关限时修补290项高风险软硬件漏洞

情境示意图,图片来源/ pixabay

美国网络安全暨基础架构管理署(CISA)昨(3)日发布今年第1次约束性作业指引(binding operational directive,BOD),要求联邦-各部会应在一定期间内,修补去年及今年内遭到开采的软、硬件漏洞,新漏洞得在2周内修补完成。

BOD是为确保美国联邦-资讯及资讯系统之安全,针对联邦-、行政部门、各部会发布的强制指令。名为《减低已知被开采漏洞之重大风险》、编号22-01的BOD指出,过去曾被开采以骇入公、私部门机构的漏洞,是各类骇客经常使用的攻击管道,因此有必要积极修补已知曾遭开采的漏洞,以确保联邦-资讯系统安全,减少网络攻击事件。

CISA也建立了一个对美国-有重大风险的已知被开采漏洞数据库。该数据库包含美国-使用的产品之已知、且传出被骇的数百项安全漏洞,影响产品从Accellion档案分享平台 FTA、SolarWinds、SonicWall VPN产品SMA1000、F5 BIG-IP、到iOS、Android、Exchange Server、Azure Open Management Infrastructure (OMI)、Google Chrome、Pulse Connect Secure、Oracle WebLogic、Apache HTTP Server等。

目前这个数据库包含200个、在2017年到2020年发现的漏洞,而今年发现的则有90个,但是有许多漏洞虽是今年以前发现,却是今年被开采。

CISA要求,今年内被开采的漏洞,应在2周内,即2021年11月17日修补。而2020年底以前遭开采的漏洞,则应在6个月内,即2022年5月3日以前修补完成。

这项指引也要求联邦-机关从现在起60天之内,检讨与更新内部漏洞管理程序。而且未来也必须每季1次透过自动系统,报告这份指引的执行情况,若不使用自动系统的单位,从明年10月起就得2周交一次报告。

2021-11-04 11:47:00

相关文章