阿里云回應(yīng)未及時向工信部相關(guān)平臺報告漏洞：未意識到嚴重性

阿里云表示，近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認這是一個安全漏洞，并向全球發(fā)布修復(fù)補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。 據(jù)悉，Log4j2是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。12月17日，工信部曾發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險提示。 隨后，工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專櫻備正業(yè)機構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進行風(fēng)險預(yù)警。 值得注意的是，據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在脊悔2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和滾余漏洞信息共享平臺報送相關(guān)漏洞信息

阿里又出事了！發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，不上報工信部，卻通知外國機構(gòu)

突發(fā)！工信部宣布暫停與阿里云信息共享平臺合作。這是怎么回事？阿里云犯了什么事？要了解這些疑問，首先我們要知道阿帕奇 Log4j2組件。據(jù)悉，阿帕奇 Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。而在11月24日，阿里云發(fā)現(xiàn)阿帕奇（Apache） Log4j2存在安全漏洞。但阿里云沒第一時間向工信部報告，反而率先向阿帕奇軟件基金鎮(zhèn)叢會披露該漏洞。 而阿帕奇軟件基金會是專門為支持開源軟件項目而成立的一個非盈利性組織，于1999年6月在美國特拉華州注冊成立。 在阿里向他們披露漏洞后，奧地利和新西蘭官方的計算機應(yīng)急小組率先對這一漏洞進行預(yù)警，而中國工信部是在收到網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告后，才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴重安全漏洞。 根據(jù)工信部、國家網(wǎng)信辦、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在2日內(nèi)向工信部報送相關(guān)漏洞信息，而工信部12月9日發(fā)現(xiàn)上述漏洞，距阿里云首次發(fā)現(xiàn)已經(jīng)過去15天

導(dǎo)致阿里云被暫停合作的漏洞 究竟是什么？

新京報貝殼 財經(jīng) 訊（記者 羅亦丹）因發(fā)現(xiàn)安全漏洞后的處理問題，近日阿里云引發(fā)了一波輿論。 據(jù)媒體報道，11月24日，阿里云安全團隊向美國開源社區(qū)Apache（阿帕奇）報告了其所開發(fā)的組件存在安全漏洞。12月22日，因發(fā)現(xiàn)Apache Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報渣陸唯告，阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。 12月23日，阿里云在官方微信公號表示，其一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助，“隨后，該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息?！? “之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開發(fā)方，這確實屬于行業(yè)慣例，但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺后，要求漏洞要同時通報給國家主管部門。由于上述法案頒布的時間不是很長，我覺得漏洞的發(fā)現(xiàn)者，最開始也未必能評估到漏洞影響的范圍這么大

阿里云因未及時上報漏洞被處罰了，具體是被如何處罰的？

阿里云因未及時上報漏洞被工信部作出處罰暫停列入合作單位六個月，待處罰期滿后再決定是否跟阿里云繼續(xù)合作。這樣的處罰可以說是對阿里云的一個警示，在國家反壟斷的大背景下，阿里云失去了跟工信部的合作關(guān)系，對其承接國家項目尤其是一些國企的項目會帶來嚴重影響。與經(jīng)濟影響相對的是這次處罰帶來的信譽影響更嚴重。阿里云作為國內(nèi)云計算的龍頭企業(yè)，承擔(dān)了90%以上的中小企業(yè)云計算功能，如亮巧此龐大的規(guī)模，稍有不慎就可能會滿盤皆輸。下面來說一說整件事情：一、阿里云冤不冤這次發(fā)現(xiàn)的漏洞是基于阿帕奇Web服務(wù)器的log4j日志組件的，該組件被廣泛應(yīng)用于JAVA開發(fā)的各類程序中，因為其能幫助開發(fā)者分析系統(tǒng)運行情況以及狀態(tài)。搏伍而這次發(fā)現(xiàn)的漏洞允許黑客通過該漏洞直接訪問運行敬銀鍵了log4j日志組件的服務(wù)器，相當(dāng)于是把自己家門鑰匙給了小偷。而在漏洞爆出了近半個月時間后工信部才接到別的安全企業(yè)發(fā)出的通知，相當(dāng)于國內(nèi)的服務(wù)器裸奔了近半月之久，所以作出這個處罰阿里云一點都不冤枉

阿里云未及時上報漏洞被工信部處罰，此次處罰起到了怎樣的警示作用？

阿里云未及時上報漏洞被工信部處罰，這次的處罰給了國內(nèi)云計算領(lǐng)域，尤其是安全缺肢領(lǐng)域很大的警示作用。最重要的警示就是一定要詳細了解并遵守電信主管部門的規(guī)定，否則將失去工信部重要的背書，如果沒有工信部的背書，相信在國內(nèi)的任何一家企業(yè)將很難再接到政府部門的項目。這次事件對阿里云的處罰個人覺得阿里云不冤。阿里云在發(fā)現(xiàn)阿帕奇服務(wù)器的日志組件漏洞后，第一時間選擇報告給了美國的阿帕奇基金會，阿帕奇基金會在收到漏洞報告后第一時間發(fā)布了漏洞補丁，這操作在行業(yè)內(nèi)部是沒有問題的， 雖然技術(shù)沒有國界之分，但是企業(yè)是有的。阿里云在履行了行業(yè)職責(zé)的同時卻忘記了自己是工信部合作單位之一，沒有履行國家的職責(zé)，所以這次處罰是應(yīng)當(dāng)?shù)?，下面就以個人觀點來說一說這件事給了我們怎樣的警示作用：一、危害嚴重這次的漏洞被譽為是十年來最大的安全漏洞，就是因為用到的那個日志組件使用的廣泛性。但是工信部門卻在事發(fā)半月后才接到別的企業(yè)通知，而黑客在這段時間足以造成嚴重破壞

安全工信部通報阿里云，未及時上報重大漏洞，國資云建設(shè)刻不容緩

中科院云計算中心分布式存儲聯(lián)合實驗室特訊： 近期，工信部網(wǎng)絡(luò)安全管理局通報，暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。此次事件源自阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患報告不及時， 再虧激次為國家數(shù)據(jù)安全敲響警鐘，國資云建設(shè)刻不容緩、勢在必行。 近期，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司（簡稱“阿里云”）是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。 Apache Log4j 史上最大安全漏洞 先梳理一下阿帕奇嚴重安全漏洞的時間線：