阿里云因發(fā)現(xiàn)Log4j2核彈級(jí)漏洞但未及時(shí)上報(bào)，被工信部處罰...

點(diǎn)擊“開發(fā)者技術(shù)前線”，選擇“星標(biāo)”
讓一部分開發(fā)者看到未來

12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

12 月 10 日上午，阿里云安全團(tuán)隊(duì)再次發(fā)出預(yù)警，發(fā)現(xiàn) Apache Log4j 2.15.0-rc1 版本存在漏洞繞過，建議及時(shí)更新至 Apache Log4j 2.15.0-rc2 版本。

12 月 10 日凌晨，對(duì)很多程序員來說可能是一個(gè)不眠之夜。Apache 開源項(xiàng)目 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開，由于 Log4j 的廣泛使用，該漏洞一旦被攻擊者利用會(huì)造成嚴(yán)重危害。

Apache Log4j 2.x <= 2.14.1 版本均回會(huì)受到影響。根據(jù)“微步在線研究響應(yīng)中心”消息，可能的受影響應(yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互聯(lián)網(wǎng)企業(yè)都連夜做了應(yīng)急措施。

斗魚、京東、網(wǎng)易、深信服和汽車產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心皆發(fā)文表示，鑒于該漏洞影響范圍比較大，業(yè)務(wù)自查及升級(jí)修復(fù)需要一定時(shí)間，暫不接收 Log4j2 相關(guān)的遠(yuǎn)程代碼執(zhí)行漏洞。

后續(xù)，Log4j2 的維護(hù)者之一 @Volkan Yaz?c? 發(fā)聲:沒有工資，還要挨罵?。?/strong>

Log4j2 維護(hù)者只有幾個(gè)人，他們無償、自愿地工作，沒有人發(fā)工資，也沒人提交代碼修復(fù)問題，出了問題還要被一堆人在倉(cāng)庫(kù)里留言痛罵。

12月17日，工信部發(fā)布《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》，阿帕奇（Apache）Log4j2組件是基于Java語(yǔ)言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞，并將漏洞情況告知阿帕奇軟件基金會(huì)。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本。

—?完?—
點(diǎn)這里??關(guān)注我，記得標(biāo)星呀～

前線推出學(xué)習(xí)交流一定要備注：
研究/工作方向+地點(diǎn)+學(xué)校/公司+昵稱（如JAVA+上海
掃碼加小編微信，進(jìn)群和大佬們零距離
回復(fù)“電子書”?“資料”?領(lǐng)取一份干貨，數(shù)百面試手冊(cè)等