Log4j Download Dashboard | Log4Shell | Sonatype | 技術文章 | 資安

臺灣下載到舊版Log4j的比例持續高達8成,遠高於全球多國

Log4Shell漏洞揭露後,全球下載到舊版Log4j的情形,臺灣的比例遠高於多國。根據在Sonatype提供的Log4j下載狀態儀表板,當中資訊顯示,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本,臺灣在這段期間,則是有8成下載到有漏洞的舊版本

2022-05-08

CVE-2021-44228 | Log4j | Rezilion | 技術文章 | 資安

Log4j漏洞揭露數月後仍有隱憂,全球有9萬應用程式曝險

資安業者Rezilion研究人員透過Shodan.io掃描,分析網路上應用程式是否使用舊版Log4j,並指出曝險的原因可區分成三大類型,包括:容器有新版但用戶未更新,或容器未更新,以及老舊專屬軟體風險

2022-05-08

匡列 | 新聞 | 醫療IT | 防疫 | 醫療IT

明日起密切接觸者改為同住親友、不再匡列職場同事,企業可依3原則調整辦公方式

中央流行疫情指揮中心調整密切接觸者定義,明日起將為以同住親友為原則,職場同事不再匡列,同時取消密切接觸者電子圍籬措施。指揮中心也給出3原則供企業評估風險、調整辦公方式。

2022-05-07

Black Basta | conti | DDoS | Emotet | IT周報 | NFT | npm | OAuth | 俄烏戰爭 | 勒索軟體 | 新聞 | 烏克蘭戰爭 | 網路釣魚 | 資安一周 | 資安周報 | 資安週報 | 關鍵基礎設施 | 資安

【資安週報】2022年5月3日至6日

在5月第一個星期的資安新聞裡,從事竊密、暗中埋伏行動的資安事故占有相當高的比例,而且,駭客運用了過往可能較少出現的工具,或是較為罕見的手法,使得組織更加難以防範

2022-05-07

Heroku | OAuth | 憑證 | 新聞 | 權杖 | 資料外洩 | 資安

Heroku機器帳號權杖遭盜用,波及GitHub OAuth權杖與客戶憑證

平臺即服務(PaaS)供應商Heroku發現駭客盜用了該公司機器帳號的權杖,取得進入資料庫的權限,不僅盜走整合GitHub的OAuth權杖,也存取了存放客戶憑證的資料庫

2022-05-06

JVM | Pulumi | YAML | 基礎設施即程式碼 | 新聞 | Cloud

基礎設施即程式碼工具Pulumi強化互通性,添加配置檔通用轉換功能CrossCode

Pulumi發布配置通用轉換功能CrossCode,供用戶以當前所有主流程式語言,編寫基礎設施即程式碼,並將其轉換成任何雲端格式,大幅增加雲端平臺的配置互通性

2022-05-06

C-SCRM指南 | NIST | 供應鏈 | 新聞 | 資安 | 風險管理 | 資安

美國國家標準局更新《網路安全供應鏈風險管理》指南

該指南旨在協助產品、軟體及服務的採購商與終端用戶,如何辨識、評估與應對供應鏈所帶來的網路風險

2022-05-06

APT41 | Pay-per-install | Winnti | 勒索軟體 | 新聞 | 漏洞揭露 | 資安日報 | 資料外洩 | 關鍵基礎設施 | 防毒軟體 | 資安

【資安日報】2022年5月6日,Avast與AVG防毒軟體元件存在嚴重漏洞、駭客藉由USB隨身碟散播蠕蟲程式

在今天的資安新聞中,Avast、AVG防毒軟體的元件漏洞,以及F5的BIG-IP系統重大漏洞,用戶都應該儘速採取緩解措施;再者,駭客利用USB儲存裝置傳送惡意程式的攻擊手法,相當值得留意

2022-05-06

TWCERT/CC | 上市上櫃公司資通安全管理指引 | 推動上市櫃公司資安管理機制 | 新聞 | 臺灣證券交易所 | 證券櫃臺買賣中心 | 金管會 | 資安

強化上市櫃資安措施政策大公開,提供資通安全管控指引,推動加入情資分享平臺

為提升上市櫃公司對資訊安全的重視,近年政府要求證交所及櫃買中心成立強化上市櫃資安措施的任務小組,主要從資訊公開、公司治理、監理協助這三大角度,不只透過法令修正要求公司符合規範,還發布「上市上櫃資通安全管控指引」,提供予普遍公司能有可依循作法的參考,近期還將鼓勵公司加入領域ISAC或TWCERT

2022-05-06