阿里雲因未及時報告嚴重漏洞被處罰

來源：時尚冬閱讀: 2W 次

小中大

字號：

用手機掃描二維碼在手機上繼續觀看

手機檢視

阿里雲因未及時報告嚴重漏洞被處罰，阿里雲在中國雲市場上佔據著重要地位，阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，阿里雲因未及時報告嚴重漏洞被處罰。

阿里雲因未及時報告嚴重漏洞被處罰1

近期，工信部網路安全管理局通報稱，阿里雲端計算有限公司發現阿帕奇（Apache）Log4j2元件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅資訊共享平臺合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是“計算機歷史上最大的漏洞”後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關資訊。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2元件重大安全漏洞

阿帕奇（Apache）Log4j2元件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲端計算有限公司發現阿帕奇Log4j2元件存在遠端程式碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致裝置遠端受控，進而引發敏感資訊竊取、裝置服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2元件漏洞補丁釋出，排查自有相關係統阿帕奇Log4j2元件使用情況，及時升級元件版本。

工業和資訊化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共網際網路網路安全。

阿里雲因未及時報告嚴重漏洞被處罰2

12月23日晚間，阿里雲端計算有限公司（以下簡稱“阿里雲”）對發現阿帕奇（Apache）Log4j2元件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了迴應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞資訊。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2元件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。Apache開源社群確認這是一個安全漏洞，並向全球釋出修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社群阿帕奇（Apache）旗下的開源日誌元件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅資訊共享平臺合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2元件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞資訊共享平臺收到有關網路安全專業機構報告，阿帕奇Log4j2元件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致裝置遠端受控，進而引發敏感資訊竊取、裝置服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2元件漏洞補丁釋出，排查自有相關係統阿帕奇Log4j2元件使用情況，及時升級元件版本。

阿里雲在中國雲市場上佔據著重要地位，此前，Canalys釋出中國雲端計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲端計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受網際網路、金融服務和零售行業的推動。

阿里雲因未及時報告嚴重漏洞被處罰3

近日，有媒體報道，阿里雲發現阿帕奇Log4j2元件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社群，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的'安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞釋出了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社群是什麼？Log4j2元件是什麼？

阿帕奇是國際上比較有影響力的一個開源社群。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社群的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這裡共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社群阿帕奇旗下的開源日誌元件，很多企業都會會用這個元件來開發自己的系統。在阿里雲的工程師發現這個元件有問題的時候，就郵件詢問了阿帕奇，請社群確認這是否是一個漏洞、評估影響範圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平臺，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和資訊化部網路安全威脅和漏洞資訊共享平臺收到有關網路安全專業機構報告，阿帕奇Log4j2元件存在嚴重安全漏洞。工業和資訊化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的“處罰”，否則不可能不公開通報。其次，網路安全威脅和漏洞資訊共享平臺是一個收集、通報網路安全漏洞的平臺，暫停這個平臺的合作資質並不對業務造成影響。