突然被工信部重罚！阿里云到底干了啥？-技术圈

转自/扩展迷Extfans

作者/okay

12月9日晚，被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的“史诗级/核弹级漏洞”。

网络安全专家认为，这一漏洞潜在危害极大，甚至可能是“计算机历史上最大的漏洞”。

简单来说，就是攻击者可以利用漏洞远程执行代码，最终获得服务器的最高权限，相当于“我在你家想干什么就干什么”。

业内人士称，Log4j 2是近十年来可以排到top3的漏洞，影响面极广，包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。

Steam、三星、苹果、微软等科技巨头的云服务均受到了影响，推特和亚马逊也遭到了攻击，百度搜索、360搜索等都出现了问题。

事件发酵后，全球各大社交平台上，从事开发和网络安全的网友一片哀嚎，无数开发者通宵“补锅”，Github趋势榜也被Log4j漏洞相内容霸占。

据了解，Apache Log4j2是一个基于Java的日志记录工具，是目前最优秀的Java日志框架之一。

作为一个开源的底层组件，Log4j2被大量用于业务系统开发，用来记录程序输入输出日志信息。

它的用户有不少是体量极大的互联网公司，诸如谷歌、苹果和亚马逊等。

实际上，早在11月24日，阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。

12月7日，Apache Log4j官方发布2.15.0-rc1版本以修复漏洞。

但不知道出于何种原因，阿里云并未向国内电信主管部门及时上报。

这导致中国工信部是在收到网络安全专业机构报告后，才发现Log4j2组件存在严重安全漏洞。

12月22日，据21世纪经济报道消息，近期，工信部网络安全管理局通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工信部报送相关漏洞信息。

而工信部12月9日发现上述漏洞，距阿里云首次发现已经过去15天。

12月17日，工信部网络安全管理局才发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。

要知道，今年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。

其中，《网络产品安全漏洞管理规定》第七条明确指出：

网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。