阿里云回应未及时向工信部相关平台报告漏洞:未意识到严重性
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。 据悉,Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。12月17日,工信部曾发布关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示。 随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专樱备正业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。 值得注意的是,据《网络产品安全漏洞管理规定》,网络产品提供者应当在脊悔2日内向工业和信息化部网络安全威胁和滚余漏洞信息共享平台报送相关漏洞信息
阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
突发!工信部宣布暂停与阿里云信息共享平台合作。这是怎么回事?阿里云犯了什么事?要了解这些疑问,首先我们要知道阿帕奇 Log4j2组件。据悉,阿帕奇 Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。而在11月24日,阿里云发现阿帕奇(Apache) Log4j2存在安全漏洞。但阿里云没第一时间向工信部报告,反而率先向阿帕奇软件基金镇丛会披露该漏洞。 而阿帕奇软件基金会是专门为支持开源软件项目而成立的一个非盈利性组织,于1999年6月在美国特拉华州注册成立。 在阿里向他们披露漏洞后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。 根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息,而工信部12月9日发现上述漏洞,距阿里云首次发现已经过去15天
导致阿里云被暂停合作的漏洞 究竟是什么?
新京报贝壳 财经 讯(记者 罗亦丹)因发现安全漏洞后的处理问题,近日阿里云引发了一波舆论。 据媒体报道,11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了其所开发的组件存在安全漏洞。12月22日,因发现Apache Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报渣陆唯告,阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。 12月23日,阿里云在官方微信公号表示,其一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助,“随后,该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。” “之前发现这样的漏洞都是直接通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长,我觉得漏洞的发现者,最开始也未必能评估到漏洞影响的范围这么大
阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?
阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业,承担了90%以上的中小企业云计算功能,如亮巧此庞大的规模,稍有不慎就可能会满盘皆输。下面来说一说整件事情:一、阿里云冤不冤这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的,该组件被广泛应用于JAVA开发的各类程序中,因为其能帮助开发者分析系统运行情况以及状态。搏伍而这次发现的漏洞允许黑客通过该漏洞直接访问运行敬银键了log4j日志组件的服务器,相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知,相当于国内的服务器裸奔了近半月之久,所以作出这个处罚阿里云一点都不冤枉
阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?
阿里云未及时上报漏洞被工信部处罚,这次的处罚给了国内云计算领域,尤其是安全缺肢领域很大的警示作用。最重要的警示就是一定要详细了解并遵守电信主管部门的规定,否则将失去工信部重要的背书,如果没有工信部的背书,相信在国内的任何一家企业将很难再接到政府部门的项目。这次事件对阿里云的处罚个人觉得阿里云不冤。阿里云在发现阿帕奇服务器的日志组件漏洞后,第一时间选择报告给了美国的阿帕奇基金会,阿帕奇基金会在收到漏洞报告后第一时间发布了漏洞补丁,这操作在行业内部是没有问题的, 虽然技术没有国界之分,但是企业是有的。阿里云在履行了行业职责的同时却忘记了自己是工信部合作单位之一,没有履行国家的职责,所以这次处罚是应当的,下面就以个人观点来说一说这件事给了我们怎样的警示作用:一、危害严重这次的漏洞被誉为是十年来最大的安全漏洞,就是因为用到的那个日志组件使用的广泛性。但是工信部门却在事发半月后才接到别的企业通知,而黑客在这段时间足以造成严重破坏
安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓
中科院云计算中心分布式存储联合实验室特讯: 近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再亏激次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。 近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。 Apache Log4j 史上最大安全漏洞 先梳理一下阿帕奇严重安全漏洞的时间线:
