阿里雲因未及時報告嚴重漏洞被處罰

來源：時尚達人圈閱讀: 2.01W 次

小中大

字號：

用手機掃描二維碼在手機上繼續觀看

手機查看

阿里雲因未及時報告嚴重漏洞被處罰，阿里雲在中國雲市場上佔據着重要地位，阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，阿里雲因未及時報告嚴重漏洞被處罰。

阿里雲因未及時報告嚴重漏洞被處罰1

近期，工信部網絡安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。

通報指出，阿里雲是工信部網絡安全威脅信息共享平臺合作單位。經研究，工信部網絡安全管理局決定暫停阿里雲作爲上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是“計算機歷史上最大的漏洞”後，率先向阿帕奇軟件基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網絡攻擊者無需密碼就能訪問網絡服務器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟件基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。爲降低網絡安全風險，提醒有關單位和公衆密切關注阿帕奇Log4j2組件漏洞補丁發佈，排查自有相關係統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網絡安全管理局將持續組織開展漏洞處置工作，防範網絡產品安全漏洞風險，維護公共互聯網網絡安全。

阿里雲因未及時報告嚴重漏洞被處罰2

12月23日晚間，阿里雲計算有限公司（以下簡稱“阿里雲”）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了迴應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網絡安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發佈修復補丁。隨後，該漏洞被外界證實爲一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網絡安全管理局通報稱，阿里雲是工信部網絡安全威脅信息共享平臺合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究，現暫停阿里雲公司作爲上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。爲降低網絡安全風險，提醒有關單位和公衆密切關注阿帕奇Log4j2組件漏洞補丁發佈，排查自有相關係統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上佔據着重要地位，此前，Canalys發佈中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲因未及時報告嚴重漏洞被處罰3

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。因此，暫停阿里雲作爲上述合作單位 6 個月。

原本一個技術圈子的事情因此成爲社會熱議話題。一時間網友分化爲了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的'安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發佈了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網絡安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華爲、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟件工程師，在這裏共建一些基礎的軟件部件，相互迭代、提高公共效率，是軟件產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響範圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平臺，僅僅按業界的慣例向以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味着什麼？

據工信微報——「12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的“處罰”，否則不可能不公開通報。其次，網絡安全威脅和漏洞信息共享平臺是一個收集、通報網絡安全漏洞的平臺，暫停這個平臺的合作資質並不對業務造成影響。