漏洞報給美國不報中國，阿里云被工信部重罰

程序員的成長之路

互聯(lián)網/程序員/技術/資料共享?

閱讀本文大概需要 5?分鐘。

來自：擴展迷EXTFANS

12月9日晚，被全球廣泛應用的組件Apache Log4j被曝出一個已存在在野利用的“史詩級/核彈級漏洞”。

網絡安全專家認為，這一漏洞潛在危害極大，甚至可能是“計算機歷史上最大的漏洞”。

簡單來說，就是攻擊者可以利用漏洞遠程執(zhí)行代碼，最終獲得服務器的最高權限，相當于“我在你家想干什么就干什么”。

業(yè)內人士稱，Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業(yè)務、我們平時使用的網站以及有網絡外聯(lián)功能的硬件產品。

Steam、三星、蘋果、微軟等科技巨頭的云服務均受到了影響，推特和亞馬遜也遭到了攻擊，百度搜索、360搜索等都出現(xiàn)了問題。

事件發(fā)酵后，全球各大社交平臺上，從事開發(fā)和網絡安全的網友一片哀嚎，無數開發(fā)者通宵“補鍋”，Github趨勢榜也被Log4j漏洞相內容霸占。

據了解，Apache Log4j2是一個基于Java的日志記錄工具，是目前最優(yōu)秀的Java日志框架之一。

作為一個開源的底層組件，Log4j2被大量用于業(yè)務系統(tǒng)開發(fā)，用來記錄程序輸入輸出日志信息。

它的用戶有不少是體量極大的互聯(lián)網公司，諸如谷歌、蘋果和亞馬遜等。

實際上，早在11月24日，阿里云安全團隊就向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞。

12月7日，Apache Log4j官方發(fā)布2.15.0-rc1版本以修復漏洞。

但不知道出于何種原因，阿里云并未向國內電信主管部門及時上報。

這導致中國工信部是在收到網絡安全專業(yè)機構報告后，才發(fā)現(xiàn)Log4j2組件存在嚴重安全漏洞。

12月22日，據21世紀經濟報道消息，近期，工信部網絡安全管理局通報稱，阿里云計算有限公司（下稱：阿里云）發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。

通報指出，阿里云是工信部網絡安全威脅信息共享平臺合作單位。經研究，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。

根據工信部、國家網信辦、公安部聯(lián)合印發(fā)的《網絡產品安全漏洞管理規(guī)定》，網絡產品提供者應當在2日內向工信部報送相關漏洞信息。

而工信部12月9日發(fā)現(xiàn)上述漏洞，距阿里云首次發(fā)現(xiàn)已經過去15天。

12月17日，工信部網絡安全管理局才發(fā)布《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》。

要知道，今年9月1日，為落實《網絡產品安全漏洞管理規(guī)定》有關要求，工信部網絡安全管理局組織建設的工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺正式上線運行。

其中，《網絡產品安全漏洞管理規(guī)定》第七條明確指出：

網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發(fā)布，并指導支持產品用戶采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。

（二）應當在2日內向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。

（三）應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶（含下游廠商）采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協(xié)調中心通報相關漏洞信息。鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制，對發(fā)現(xiàn)并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。

對于阿里云此次未及時上報的行為，網絡上眾說紛紜。

有網友認為，“阿里云光想著獲得世界聲譽，沒把國內安全當回事?！?/span>

尤其是在阿里云還是工信部合作單位的前提下，如此大的漏洞竟然沒有上報，實在匪夷所思。

也有網友認為，不必上升到這個地步，這次大概只是阿里云員工內部培訓疏忽了流程而已。

根據阿里最新發(fā)布財報顯示，今年三季度，阿里云營收達200億元。

在過去三年間，阿里云的海外市場規(guī)模增長了10倍以上，是亞洲規(guī)模最大的云計算平臺。

但是今年以來，阿里云在國內便已被官方點名了3次（算上這次）。

今年8月，據浙江省通信管理局通報，經調查核實，2019年11月11日阿里云計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，已責令阿里云計算有限公司改正。

11月，工業(yè)和信息化部網絡安全管理局、公安部刑事偵查局聯(lián)合約談阿里云、百度云兩家企業(yè)相關負責人。

通報了近期兩家企業(yè)在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題。

工信部等部門要求兩家企業(yè)切實對相關問題限期予以整改；拒不整改或整改不到位的，將依法依規(guī)從嚴懲處。

總而言之，工信部建立網絡安全威脅和漏洞信息共享平臺的初衷，本就是維護國內網絡安全。

阿里云作為合作單位，既然加入了這一平臺，就應該擔負起自己的責任，為維護人民群眾財產安全與合法權益出力。

而這次驚心動魄的Log4j2漏洞事件，也無疑給全球開發(fā)者敲響了一記警鐘。

推薦閱讀：

tinylog || Log4j 、Logback 替代品

Spring Boot 監(jiān)聽 Redis Key 失效事件實現(xiàn)定時任務

互聯(lián)網初中高級大廠面試題(9個G)

內容包含Java基礎、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務、Zookeeper、數據結構、限流熔斷降級......等技術棧！

?戳閱讀原文領取！? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?