趋势科技呼吁企业立即修复Samba开源软件漏洞

趋势科技呼吁企业立即修复Samba开源软件漏洞插图

在年度盛典期间,趋势科技公开表示,其零日倡议(ZDI)漏洞奖励计划在发现和披露Samba文件共享协议重大漏洞的过程中发挥了重要作用,并呼吁企业在生效日将修复相关漏洞作为重中之重。

趋势科技威胁情报副总裁乔恩克莱(Jon Clay)表示:“Log4j漏洞刚刚发生不久,现在又出现了新的漏洞,这凸显了全球安全团队在防范应用程序和开源软件的各种安全风险方面充满挑战。趋势科技在Pwn2Own黑客大赛期间发现了这一新漏洞,并借此机会与开发者合作,纠正并披露了这一漏洞。幸运的是,到目前为止,我们还没有听到任何实际的攻击案例。”

趋势科技Pwn2Own黑客大赛是在全球轮流举办的年度活动。竞赛测试参赛者发现常用软件和系统的最新漏洞和攻击方法的能力。这是趋势科技ZDI漏洞奖励计划和全球威胁情报小组的数千名研究人员为提高客户和所有在线社区的网络安全所做的努力之一。随着企业不断走向数字化转型,从而扩大攻击领域,更加依赖软件(尤其是开源软件)来运行,前述的努力变得更加重要。

CVSS新发现的这个漏洞(CVE-2021-44142)的漏洞严重度评分为9.9,可见可能给企业带来严重影响。这是一个堆内存读写超出边界的漏洞。黑客一旦攻击成功,就可以以系统管理员(root)的身份远程执行任意程序代码。虽然目前在网络上还没有看到该漏洞的实际攻击案例,但是企业必须在黑客开发攻击代码之前尽快修复,这个时间越来越短。

为此,趋势科技呼吁所有企业立即修复CVE-2021-44142漏洞或升级至最新的Samba版本,参考趋势科技技术文档中提供的脚本检查Linux/unix是否包含Samba漏洞,或通过趋势科技Vision One的自定义脚本功能将其交付至已安装趋势科技Vision One代理的计算机。

标签

发表评论