log4j中的主要漏洞

一个新的严重安全漏洞Log4Shell (CVE-2021-4428)被发现，它影响了来自许多不同供应商的数百万个Java应用程序，并被网络犯罪分子积极利用. 这个漏洞存在于流行的日志框架中 Apache Log4j 并可能导致勒索软件，数据盗窃，或整个系统接管.

由于这个安全漏洞的严重性, 在技术行业努力修补或以其他方式修复其服务和应用程序时，ODU和整个互联网的服务可能会出现紧急中断和停机.

ODU识别易受攻击的软件和应用程序, 我们将努力在正常营业时间以外提供必要的更新，以减少任何中断的影响. 然而, 我们可能需要在白天进行紧急修补, 造成不可避免的服务中断. 请理解ODU资产和信息的安全和保障是至关重要的. 感谢您的耐心等待.

如果您负责管理软件, 应用程序服务, 或者如果你管理一个托管应用程序(软件即服务), 或SaaS)作为系统所有者或应用程序管理员, 请采取以下措施确保我们的软件和服务安全:

1. 如果使用供应商提供的软件/服务(本地或托管), 立即与供应商联系，以确定他们如何解决漏洞，以及是否需要您采取行动.
2. 如果软件是内部开发的，或者如果您想要更多的技术细节，请参阅 Apache 和 中国钢铁工业协会指导 在这些网站上.
3. 向资讯保安办事处报告你的软件/服务的状态(网址 secteam@promisesurfing.net. 如需更多指导，请发送电子邮件 ITSHelp@promisesurfing.net.

如果供应商通知您数据泄露或怀疑您的系统已被破坏, 透过资讯保安服务台(ITSHelp@promisesurfing.net 或(757)683-3192)在采取其他行动之前获得进一步指示.

我的应用程序运行Java吗? 我怎么知道呢?

如果您的应用程序没有运行Java，则不会受到此漏洞的攻击. 请联系您的应用程序支持团队，了解您的应用程序是否存在漏洞, 他们正在做什么来解决这个漏洞, 以及什么时候进行缓解.

我的应用程序使用JavaScript. 我脆弱吗??

JavaScript和JSON与Java不同，不受此漏洞的影响.

如果我有一个运行Java的应用程序，我该怎么办?

运行Java的应用程序只有在运行Apache Log4j框架时才会受到此漏洞的影响. 看到 Apache 和 中钢协 指导网页.

我如何知道我的应用程序是否容易受到此漏洞的攻击?

请咨询应用程序的支持团队. 不知道那是谁? 给信息安全办公室发电子邮件 secteam@promisesurfing.net.

我知道odu管理的机器和服务器将得到妥善处理. 我的个人电脑怎么办? 我能做些什么来保护它?

确认您的重要应用程序和游戏是最新的. 流行的视频游戏《最靠谱的网赌软件》(Minecraft)只是一个易受攻击的应用程序，并已被利用, 例如. 虽然我们的主要重点是保护ODU服务器, 桌面计算机也可能容易受到攻击，安全团队正在收集可能运行此日志框架的应用程序的信息.

我管理的一个应用程序的支持人员发现该软件很容易受到攻击. 虽然他们正在努力减轻威胁，但他们还没有完成这项工作. 我该怎么办??

请把这件事报告给 安全团队 越快越好这样我们就能把我们这边的威胁降到最低.