阿里雲因未及時報告嚴重漏洞被處罰
本文已影響2W人
本文已影響2W人
阿里雲因未及時報告嚴重漏洞被處罰,阿里雲在中國雲市場上佔據着重要地位,阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場,阿里雲因未及時報告嚴重漏洞被處罰。
阿里雲因未及時報告嚴重漏洞被處罰1
近期,工信部網絡安全管理局通報稱,阿里雲計算有限公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。
通報指出,阿里雲是工信部網絡安全威脅信息共享平台合作單位。經研究,工信部網絡安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
觀察者網日前曾對該事件做過詳細報道,11月24日,阿里雲發現這個可能是“計算機歷史上最大的漏洞”後,率先向阿帕奇軟件基金會披露了這一漏洞,但並未及時向中國工信部通報相關信息。這一漏洞的存在,可以讓網絡攻擊者無需密碼就能訪問網絡服務器。
工信部通報阿帕奇Log4j2組件重大安全漏洞
阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。近日,阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟件基金會。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網絡安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發佈,排查自有相關係統阿帕奇Log4j2組件使用情況,及時升級組件版本。
工業和信息化部網絡安全管理局將持續組織開展漏洞處置工作,防範網絡產品安全漏洞風險,維護公共互聯網網絡安全。
阿里雲因未及時報告嚴重漏洞被處罰2
12月23日晚間,阿里雲計算有限公司(以下簡稱“阿里雲”)對發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告的事件進行了迴應,阿里雲表示,阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識,積極協同各方做好網絡安全風險防範工作。
阿里雲表示,近日,阿里雲一名研發工程師發現Log4j2組件的一個安全bug,遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞,並向全球發佈修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇(Apache)旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發。
此前,阿里雲因此事被罰。12月22日,工信部網絡安全管理局通報稱,阿里雲是工信部網絡安全威脅信息共享平台合作單位。近日,阿里雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
12月9日,工信部網絡安全威脅和漏洞信息共享平台收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網絡安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發佈,排查自有相關係統阿帕奇Log4j2組件使用情況,及時升級組件版本。
阿里雲在中國雲市場上佔據着重要地位,此前,Canalys發佈中國雲計算市場2021年第三季度報告。報告顯示,2021年第三季度中國雲計算市場整體同比增長43%,達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場,33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。
阿里雲因未及時報告嚴重漏洞被處罰3
近日,有媒體報道,阿里雲發現阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。因此,暫停阿里雲作為上述合作單位 6 個月。
原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——
非技術圈的人説:感覺阿里雲只報給阿帕奇這個技術社區,不上報組織,是沒把國家安全放心上。
技術圈層説:當然是誰寫的bug報給誰,阿帕奇的'安全漏洞,報給阿帕奇是應該的,不能上綱上線。
23日晚間,阿里雲就log4j2漏洞發佈了説明,誠懇認錯,表示要強化漏洞報告管理、提升合規意識,積極協同各方共同做好網絡安全防範工作。
回顧這個非常技術的話題,有諸多事實需要釐清。
首先,阿帕奇開源社區是什麼?Log4j2組件是什麼?
阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示,華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者,另外也包括谷歌、微軟等美國企業。全球的軟件工程師,在這裏共建一些基礎的軟件部件,相互迭代、提高公共效率,是軟件產業的一個特有現象。
本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件,很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候,就郵件詢問了阿帕奇,請社區確認這是否是一個漏洞、評估影響範圍。
而後阿帕奇確認這是一個漏洞,並通知開發者們修補這個漏洞。於是,出現了天涯共此時,一起改漏洞的局面。
但阿里雲遺漏了不久前上線的一個官方上報平台,僅僅按業界的慣例向以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。
其次,工信部暫停阿里雲6個月合作單位資格,意味着什麼?
據工信微報——「12月9日,工業和信息化部網絡安全威脅和漏洞信息共享平台收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。」
媒體報道的暫停6個月合作單位資格,並未出現在公開渠道。據業內人士分析,這並不是一個嚴格意義上的“處罰”,否則不可能不公開通報。其次,網絡安全威脅和漏洞信息共享平台是一個收集、通報網絡安全漏洞的平台,暫停這個平台的合作資質並不對業務造成影響。
工信部關於Log4j2漏洞的風險提示
但此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中,大量從業人員、組織養成了與開源社區合作的工作習慣,但對更高層面的安全意識、合規意識,在思想上、制度上都有所不足。阿里雲的漏報行為,也是這一意識疏漏的一次具體體現。
整體而言,此次事件對行業的影響是正面的,這是一次警示、也是一次示範。阿里雲是行業領先的IT企業,這也是能夠率先發現全球重大安全漏洞的原因,而此次事件的發生,無疑將會增強計算機行業的安全合規意識,可以想見,無論是阿里雲、還是其他諸多科技企業,都將在企業和組織內部增強合規培訓和流程規範。
驚!減肥不成功只因腸子有漏洞
專項附加扣除未及時申報
京東因不正當競爭和違反廣告法京東被罰70萬
兩員工上班時間秀恩愛被老闆如此重罰
海上牧雲記牧雲嚴霜和牧雲寒什麼關係 海上牧雲記牧雲嚴霜扮演者是誰
牙根有個洞怎麼辦 及時治療很重要
CBA名哨被重罰停賽
迪士尼銷售不合格衣物被罰為何屢次被罰
海上牧雲記牧雲嚴霜喜歡誰 牧雲嚴霜結局是什麼
仙劍雲之凡播出時間被改原因 改到什麼時候
蘋果或因不送充電器再次被巴西處罰
優酷因傳播不當內容被處罰1萬元:不是第一次了
對吸煙處罰通告範文
趙薇夫婦遭處罰是怎麼回事 趙薇為什麼被罰60萬元
阿里雲是幹什麼用的
格力迴應被美國罰款為什麼被罰
謝霆鋒“愛妻宣言”漏洞被揭
空調漏水的原因及漏水時的處理辦法
汪涵老婆楊樂樂脱髮嚴重 女人嚴重脱髮是什麼原因
絕味被罰60萬是怎麼回事 絕味被罰60萬的廣告圖片
美國加州原油泄漏被瞞報24小時
掉髮嚴重是什麼原因 掉髮的原因及解決方法
鄭爽逃漏税被罰款2.99億 舉報的人居然是他
海上牧雲記牧雲嚴霜是誰演的 牧雲嚴霜扮演者個人資料介紹
學生被開除有什麼後果 很嚴重的處罰
劉德華泰國拍廣告時墜馬受傷 傷勢嚴重
24歲脱髮嚴重怎麼辦 脱髮嚴重按摩哪裏比較好
吸煙處罰通告範文
襪子破洞了要怎麼處理?破洞了要及時縫
少女脱髮嚴重原因及治療方法 中西醫教你從生活習慣減少脱髮
《青年醫生》收視平平 被評劇情假漏洞多
趙麗穎方迴應B超照:因B超檢查報告圖重名被懷孕
頭皮長痘痘成因及解決方法,掉髮嚴重、毛囊炎舒緩有感