阿里云回應(yīng)未及時(shí)向工信部相關(guān)平臺(tái)報(bào)告漏洞：未意識(shí)到嚴(yán)重性

阿里云表示，近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個(gè)安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助。Apache開源社區(qū)確認(rèn)這是一個(gè)安全漏洞，并向全球發(fā)布修復(fù)補(bǔ)丁。隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞。 據(jù)悉，Log4j2是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。12月17日，工信部曾發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示。 隨后，工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專櫻備正業(yè)機(jī)構(gòu)等開展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。 值得注意的是，據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在脊悔2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和滾余漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息

阿里又出事了！發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，不上報(bào)工信部，卻通知外國(guó)機(jī)構(gòu)

突發(fā)！工信部宣布暫停與阿里云信息共享平臺(tái)合作。這是怎么回事？阿里云犯了什么事？要了解這些疑問，首先我們要知道阿帕奇 Log4j2組件。據(jù)悉，阿帕奇 Log4j2組件是基于Java語(yǔ)言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。而在11月24日，阿里云發(fā)現(xiàn)阿帕奇（Apache） Log4j2存在安全漏洞。但阿里云沒第一時(shí)間向工信部報(bào)告，反而率先向阿帕奇軟件基金鎮(zhèn)叢會(huì)披露該漏洞。 而阿帕奇軟件基金會(huì)是專門為支持開源軟件項(xiàng)目而成立的一個(gè)非盈利性組織，于1999年6月在美國(guó)特拉華州注冊(cè)成立。 在阿里向他們披露漏洞后，奧地利和新西蘭官方的計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行預(yù)警，而中國(guó)工信部是在收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后，才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。 根據(jù)工信部、國(guó)家網(wǎng)信辦、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在2日內(nèi)向工信部報(bào)送相關(guān)漏洞信息，而工信部12月9日發(fā)現(xiàn)上述漏洞，距阿里云首次發(fā)現(xiàn)已經(jīng)過(guò)去15天

導(dǎo)致阿里云被暫停合作的漏洞 究竟是什么？

新京報(bào)貝殼 財(cái)經(jīng) 訊（記者 羅亦丹）因發(fā)現(xiàn)安全漏洞后的處理問題，近日阿里云引發(fā)了一波輿論。 據(jù)媒體報(bào)道，11月24日，阿里云安全團(tuán)隊(duì)向美國(guó)開源社區(qū)Apache（阿帕奇）報(bào)告了其所開發(fā)的組件存在安全漏洞。12月22日，因發(fā)現(xiàn)Apache Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)渣陸唯告，阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。 12月23日，阿里云在官方微信公號(hào)表示，其一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個(gè)安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助，“隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞。阿里云因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息。” “之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開發(fā)方，這確實(shí)屬于行業(yè)慣例，但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺(tái)后，要求漏洞要同時(shí)通報(bào)給國(guó)家主管部門。由于上述法案頒布的時(shí)間不是很長(zhǎng)，我覺得漏洞的發(fā)現(xiàn)者，最開始也未必能評(píng)估到漏洞影響的范圍這么大

阿里云因未及時(shí)上報(bào)漏洞被處罰了，具體是被如何處罰的？

阿里云因未及時(shí)上報(bào)漏洞被工信部作出處罰暫停列入合作單位六個(gè)月，待處罰期滿后再?zèng)Q定是否跟阿里云繼續(xù)合作。這樣的處罰可以說(shuō)是對(duì)阿里云的一個(gè)警示，在國(guó)家反壟斷的大背景下，阿里云失去了跟工信部的合作關(guān)系，對(duì)其承接國(guó)家項(xiàng)目尤其是一些國(guó)企的項(xiàng)目會(huì)帶來(lái)嚴(yán)重影響。與經(jīng)濟(jì)影響相對(duì)的是這次處罰帶來(lái)的信譽(yù)影響更嚴(yán)重。阿里云作為國(guó)內(nèi)云計(jì)算的龍頭企業(yè)，承擔(dān)了90%以上的中小企業(yè)云計(jì)算功能，如亮巧此龐大的規(guī)模，稍有不慎就可能會(huì)滿盤皆輸。下面來(lái)說(shuō)一說(shuō)整件事情：一、阿里云冤不冤這次發(fā)現(xiàn)的漏洞是基于阿帕奇Web服務(wù)器的log4j日志組件的，該組件被廣泛應(yīng)用于JAVA開發(fā)的各類程序中，因?yàn)槠淠軒椭_發(fā)者分析系統(tǒng)運(yùn)行情況以及狀態(tài)。搏伍而這次發(fā)現(xiàn)的漏洞允許黑客通過(guò)該漏洞直接訪問運(yùn)行敬銀鍵了log4j日志組件的服務(wù)器，相當(dāng)于是把自己家門鑰匙給了小偷。而在漏洞爆出了近半個(gè)月時(shí)間后工信部才接到別的安全企業(yè)發(fā)出的通知，相當(dāng)于國(guó)內(nèi)的服務(wù)器裸奔了近半月之久，所以作出這個(gè)處罰阿里云一點(diǎn)都不冤枉

阿里云未及時(shí)上報(bào)漏洞被工信部處罰，此次處罰起到了怎樣的警示作用？

阿里云未及時(shí)上報(bào)漏洞被工信部處罰，這次的處罰給了國(guó)內(nèi)云計(jì)算領(lǐng)域，尤其是安全缺肢領(lǐng)域很大的警示作用。最重要的警示就是一定要詳細(xì)了解并遵守電信主管部門的規(guī)定，否則將失去工信部重要的背書，如果沒有工信部的背書，相信在國(guó)內(nèi)的任何一家企業(yè)將很難再接到政府部門的項(xiàng)目。這次事件對(duì)阿里云的處罰個(gè)人覺得阿里云不冤。阿里云在發(fā)現(xiàn)阿帕奇服務(wù)器的日志組件漏洞后，第一時(shí)間選擇報(bào)告給了美國(guó)的阿帕奇基金會(huì)，阿帕奇基金會(huì)在收到漏洞報(bào)告后第一時(shí)間發(fā)布了漏洞補(bǔ)丁，這操作在行業(yè)內(nèi)部是沒有問題的， 雖然技術(shù)沒有國(guó)界之分，但是企業(yè)是有的。阿里云在履行了行業(yè)職責(zé)的同時(shí)卻忘記了自己是工信部合作單位之一，沒有履行國(guó)家的職責(zé)，所以這次處罰是應(yīng)當(dāng)?shù)?，下面就以個(gè)人觀點(diǎn)來(lái)說(shuō)一說(shuō)這件事給了我們?cè)鯓拥木咀饔茫阂弧⑽：?yán)重這次的漏洞被譽(yù)為是十年來(lái)最大的安全漏洞，就是因?yàn)橛玫降哪莻€(gè)日志組件使用的廣泛性。但是工信部門卻在事發(fā)半月后才接到別的企業(yè)通知，而黑客在這段時(shí)間足以造成嚴(yán)重破壞

安全工信部通報(bào)阿里云，未及時(shí)上報(bào)重大漏洞，國(guó)資云建設(shè)刻不容緩

中科院云計(jì)算中心分布式存儲(chǔ)聯(lián)合實(shí)驗(yàn)室特訊： 近期，工信部網(wǎng)絡(luò)安全管理局通報(bào)，暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。此次事件源自阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患報(bào)告不及時(shí)， 再虧激次為國(guó)家數(shù)據(jù)安全敲響警鐘，國(guó)資云建設(shè)刻不容緩、勢(shì)在必行。 近期，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司（簡(jiǎn)稱“阿里云”）是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。 Apache Log4j 史上最大安全漏洞 先梳理一下阿帕奇嚴(yán)重安全漏洞的時(shí)間線：