轉自/擴展迷Extfans

作者/okay

12月9日晚，被全球廣泛應用的組件Apache Log4j被曝出一個已存在在野利用的“史詩級/核彈級漏洞”。

網絡安全專家認為，這一漏洞潛在危害極大，甚至可能是“計算機歷史上最大的漏洞”。

簡單來說，就是攻擊者可以利用漏洞遠程執行代碼，最終獲得服務器的最高權限，相當于“我在你家想干什么就干什么”。

業內人士稱，Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業務、我們平時使用的網站以及有網絡外聯功能的硬件產品。

Steam、三星、蘋果、微軟等科技巨頭的云服務均受到了影響，推特和亞馬遜也遭到了攻擊，百度搜索、360搜索等都出現了問題。

事件發酵后，全球各大社交平臺上，從事開發和網絡安全的網友一片哀嚎，無數開發者通宵“補鍋”，Github趨勢榜也被Log4j漏洞相內容霸占。

據了解，Apache Log4j2是一個基于Java的日志記錄工具，是目前最優秀的Java日志框架之一。

作為一個開源的底層組件，Log4j2被大量用于業務系統開發，用來記錄程序輸入輸出日志信息。

它的用戶有不少是體量極大的互聯網公司，諸如谷歌、蘋果和亞馬遜等。

實際上，早在11月24日，阿里云安全團隊就向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。

12月7日，Apache Log4j官方發布2.15.0-rc1版本以修復漏洞。

但不知道出于何種原因，阿里云并未向國內電信主管部門及時上報。

這導致中國工信部是在收到網絡安全專業機構報告后，才發現Log4j2組件存在嚴重安全漏洞。

12月22日，據21世紀經濟報道消息，近期，工信部網絡安全管理局通報稱，阿里云計算有限公司（下稱：阿里云）發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。

通報指出，阿里云是工信部網絡安全威脅信息共享平臺合作單位。經研究，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。

根據工信部、國家網信辦、公安部聯合印發的《網絡產品安全漏洞管理規定》，網絡產品提供者應當在2日內向工信部報送相關漏洞信息。

而工信部12月9日發現上述漏洞，距阿里云首次發現已經過去15天。

12月17日，工信部網絡安全管理局才發布《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》。

要知道，今年9月1日，為落實《網絡產品安全漏洞管理規定》有關要求，工信部網絡安全管理局組織建設的工業和信息化部網絡安全威脅和漏洞信息共享平臺正式上線運行。

其中，《網絡產品安全漏洞管理規定》第七條明確指出：

網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

（一）發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。

（二）應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。

（三）應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶（含下游廠商）采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

工業和信息化部網絡安全威脅和漏洞信息共享平臺同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心通報相關漏洞信息。鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制，對發現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。

對于阿里云此次未及時上報的行為，網絡上眾說紛紜。

有網友認為，“阿里云光想著獲得世界聲譽，沒把國內安全當回事。”

尤其是在阿里云還是工信部合作單位的前提下，如此大的漏洞竟然沒有上報，實在匪夷所思。

也有網友認為，不必上升到這個地步，這次大概只是阿里云員工內部培訓疏忽了流程而已。

根據阿里最新發布財報顯示，今年三季度，阿里云營收達200億元。

在過去三年間，阿里云的海外市場規模增長了10倍以上，是亞洲規模最大的云計算平臺。

但是今年以來，阿里云在國內便已被官方點名了3次（算上這次）。

今年8月，據浙江省通信管理局通報，經調查核實，2019年11月11日阿里云計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，已責令阿里云計算有限公司改正。

11月，工業和信息化部網絡安全管理局、公安部刑事偵查局聯合約談阿里云、百度云兩家企業相關負責人。

通報了近期兩家企業在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題。

工信部等部門要求兩家企業切實對相關問題限期予以整改；拒不整改或整改不到位的，將依法依規從嚴懲處。

總而言之，工信部建立網絡安全威脅和漏洞信息共享平臺的初衷，本就是維護國內網絡安全。

阿里云作為合作單位，既然加入了這一平臺，就應該擔負起自己的責任，為維護人民群眾財產安全與合法權益出力。

而這次驚心動魄的Log4j2漏洞事件，也無疑給全球開發者敲響了一記警鐘。

各位伙伴們好，詹帥本帥搭建了一個個人博客和小程序，匯集各種干貨和資源，也方便大家閱讀，感興趣的小伙伴請移步小程序體驗一下哦！（歡迎提建議）

推薦閱讀

牛逼！Python常用數據類型的基本操作（長文系列第①篇）

牛逼！Python的判斷、循環和各種表達式（長文系列第②篇）

牛逼！Python函數和文件操作（長文系列第③篇）

牛逼！Python錯誤、異常和模塊（長文系列第④篇）

總結

以上是生活随笔為你收集整理的突然被工信部重罚！阿里云到底干了啥？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。