據悉,阿帕奇 Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。而在11月24日,阿裏雲發現阿帕奇(Apache) Log4j2存在安全漏洞。但阿裏雲沒第壹時間向工信部報告,反而率先向阿帕奇軟件基金會披露該漏洞。
而阿帕奇軟件基金會是專門為支持開源軟件項目而成立的壹個非盈利性組織,於1999年6月在美國特拉華州註冊成立。
在阿裏向他們披露漏洞後,奧地利和新西蘭官方的計算機應急小組率先對這壹漏洞進行預警,而中國工信部是在收到網絡安全專業機構報告後,才發現阿帕奇Log4j2組件存在嚴重安全漏洞。
根據工信部、國家網信辦、公安部聯合印發的《網絡產品安全漏洞管理規定》,網絡產品提供者應當在2日內向工信部報送相關漏洞信息,而工信部12月9日發現上述漏洞,距阿裏雲首次發現已經過去15天。
值得註意的是:這次的漏洞被認為是“計算機 歷史 上最大的漏洞”。多名雲計算業內人士指出,這是壹個非常基礎的日誌庫漏洞。由於組件使用量很大,幾乎所有的java程序都會涉及,所以影響面很大。
工信部指出,這壹漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。有關單位和公眾密切關註阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網絡安全風險。
看完上述,相信大家都知道阿裏雲犯了什麽事了吧!根據工信部要求,網絡產品提供者發現漏洞,應當在2日內向工信部報送相關漏洞信息。
有此要求是因為通常情況下,發現的早,知道的快,能及時防備、解決漏洞,避免造成損失。反之,知道得越晚,損失越大。
此次的阿帕奇 Log4j2漏洞,幾乎影響全球,原本我國本應該能在11月24日就應對的,最後卻滯後了15天,15天有多少設備受到了“入侵”呢?
所以,也難怪工信部宣布暫停與阿裏雲信息***享平臺合作。工信部稱,阿裏雲公司發現阿帕奇 Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿裏雲公司作為上述合作單位6個月。暫停期滿後,根據阿裏雲公司整改情況,研究恢復其上述合作單位。