聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

当地时间本周三，美国网络安全和基础设施安全局 (CISA) 发布了一份包含约300个已遭利用的漏洞清单，同时发布绑定操作指令 (BOD)，指导政府组织机构修复这些安全缺陷。

包含厂商

该清单目前包括的漏洞源自如下厂商的产品：Adobe、Apple、Apache、Android、Arcadyan、Arm、Atlassian、BQE、Cisco、Citrix、D-Link、DNN、Docker、DrayTek、Drupal、ExifTool、Exim、EyesOfNetwork、F5、ForgeRock、Fortinet、Google、IBM、ImageMagick、Ivanti、Kaseya、LifeRay、McAfee、Micro Focus、Microsoft、Mozilla、Nagios、Netgear、Netis、Oracle、PlaySMS、Progress、Pulse Secure、Qualcomm、rConfig、Realtek、Roundcube、SaltStack、SAP、SIMalliance、SolarWinds、Sonatype、SonicWall、Sophos、Sumavision、Symantec、TeamViewer、Telerik、Tenda、ThinkPHP、Trend Micro、TVT、Unraid、vBulletin、VMware、WordPress、Yealink、Zoho (ManageEngine) 和 ZyXEL。

CISA 将持续更新该清单。入选清单的漏洞需要具有在野利用证据、存在补丁或缓解措施.以及存在CVE编号。

BOD 22-01：降低已知遭利用漏洞的重大风险

CISA 已发布 BOD 22-01 “降低已知遭利用漏洞的重大风险”，指导联邦民用机构在60天内根据指令，审计并更新内部的漏洞管理程序。同时该指令给出每个漏洞的修复指南并要求这些机构报告进展。在2021年前发布CVE编号的漏洞要求在6个月内修复，而在2021年发布编号的漏洞要求在两周内修复。

该清单中为每个漏洞都列出最后的修复期限，具体来说，今年发现的漏洞必须在2021年11月17日之前修复，而其它漏洞须在2022年5月3日前修复。其中一些漏洞应该已经按照CISA之前发布的紧急指令予以修复。

虽然CISA目前仅要求联邦机构按照该 BOD 采取措施，但“强烈建议”私营企业和其他政府组织机构同样这样做，“不能仅仅关注具有具体CVSS评分的漏洞，CISA 发布的漏洞已经具有已知 exploit 且正遭恶意利用，因此需要修复“。CISA 还补充道，”BOD 22-01 督促联邦机构缓解这些漏洞，因为这些机构的网络很可能遭破坏性入侵，国内所有组织机构都应当马上修复正在造成危害的漏洞，同时CISA 也会根据我们对对手活动的理解，持续对漏洞做出优先级排序。“

推荐阅读

俄罗斯被指为 SolarWinds 供应链事件元凶，技术公司受制裁，常用5大漏洞遭曝光

遭美国制裁的国家被曝无法访问GitHub

美总统：针对干预总统大选的外国人“自动”启动制裁

朝鲜否认入侵联合国制裁委员会数据库

原文链接

https://www.securityweek.com/cisa-lists-300-exploited-vulnerabilities-organizations-need-patch

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~