轉(zhuǎn)自/擴(kuò)展迷Extfans

作者/okay

12月9日晚，被全球廣泛應(yīng)用的組件Apache Log4j被曝出一個(gè)已存在在野利用的“史詩級(jí)/核彈級(jí)漏洞”。

網(wǎng)絡(luò)安全專家認(rèn)為，這一漏洞潛在危害極大，甚至可能是“計(jì)算機(jī)歷史上最大的漏洞”。

簡(jiǎn)單來說，就是攻擊者可以利用漏洞遠(yuǎn)程執(zhí)行代碼，最終獲得服務(wù)器的最高權(quán)限，相當(dāng)于“我在你家想干什么就干什么”。

業(yè)內(nèi)人士稱，Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業(yè)務(wù)、我們平時(shí)使用的網(wǎng)站以及有網(wǎng)絡(luò)外聯(lián)功能的硬件產(chǎn)品。

Steam、三星、蘋果、微軟等科技巨頭的云服務(wù)均受到了影響，推特和亞馬遜也遭到了攻擊，百度搜索、360搜索等都出現(xiàn)了問題。

事件發(fā)酵后，全球各大社交平臺(tái)上，從事開發(fā)和網(wǎng)絡(luò)安全的網(wǎng)友一片哀嚎，無數(shù)開發(fā)者通宵“補(bǔ)鍋”，Github趨勢(shì)榜也被Log4j漏洞相內(nèi)容霸占。

據(jù)了解，Apache Log4j2是一個(gè)基于Java的日志記錄工具，是目前最優(yōu)秀的Java日志框架之一。

作為一個(gè)開源的底層組件，Log4j2被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄程序輸入輸出日志信息。

它的用戶有不少是體量極大的互聯(lián)網(wǎng)公司，諸如谷歌、蘋果和亞馬遜等。

實(shí)際上，早在11月24日，阿里云安全團(tuán)隊(duì)就向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。

12月7日，Apache Log4j官方發(fā)布2.15.0-rc1版本以修復(fù)漏洞。

但不知道出于何種原因，阿里云并未向國內(nèi)電信主管部門及時(shí)上報(bào)。

這導(dǎo)致中國工信部是在收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后，才發(fā)現(xiàn)Log4j2組件存在嚴(yán)重安全漏洞。

12月22日，據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道消息，近期，工信部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司（下稱：阿里云）發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報(bào)指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

根據(jù)工信部、國家網(wǎng)信辦、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在2日內(nèi)向工信部報(bào)送相關(guān)漏洞信息。

而工信部12月9日發(fā)現(xiàn)上述漏洞，距阿里云首次發(fā)現(xiàn)已經(jīng)過去15天。

12月17日，工信部網(wǎng)絡(luò)安全管理局才發(fā)布《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》。

要知道，今年9月1日，為落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，工信部網(wǎng)絡(luò)安全管理局組織建設(shè)的工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)正式上線運(yùn)行。

其中，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條明確指出：

網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時(shí)修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍；對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

（二）應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號(hào)、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。

（三）應(yīng)當(dāng)及時(shí)組織對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ)，對(duì)于需要產(chǎn)品用戶（含下游廠商）采取軟件、固件升級(jí)等措施的，應(yīng)當(dāng)及時(shí)將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術(shù)支持。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)同步向國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報(bào)相關(guān)漏洞信息。鼓勵(lì)網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎(jiǎng)勵(lì)機(jī)制，對(duì)發(fā)現(xiàn)并通報(bào)所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個(gè)人給予獎(jiǎng)勵(lì)。

對(duì)于阿里云此次未及時(shí)上報(bào)的行為，網(wǎng)絡(luò)上眾說紛紜。

有網(wǎng)友認(rèn)為，“阿里云光想著獲得世界聲譽(yù)，沒把國內(nèi)安全當(dāng)回事?！?/span>

尤其是在阿里云還是工信部合作單位的前提下，如此大的漏洞竟然沒有上報(bào)，實(shí)在匪夷所思。

也有網(wǎng)友認(rèn)為，不必上升到這個(gè)地步，這次大概只是阿里云員工內(nèi)部培訓(xùn)疏忽了流程而已。

根據(jù)阿里最新發(fā)布財(cái)報(bào)顯示，今年三季度，阿里云營收達(dá)200億元。

在過去三年間，阿里云的海外市場(chǎng)規(guī)模增長了10倍以上，是亞洲規(guī)模最大的云計(jì)算平臺(tái)。

但是今年以來，阿里云在國內(nèi)便已被官方點(diǎn)名了3次（算上這次）。

今年8月，據(jù)浙江省通信管理局通報(bào)，經(jīng)調(diào)查核實(shí)，2019年11月11日阿里云計(jì)算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊(cè)信息泄露給第三方合作公司，已責(zé)令阿里云計(jì)算有限公司改正。

11月，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局、公安部刑事偵查局聯(lián)合約談阿里云、百度云兩家企業(yè)相關(guān)負(fù)責(zé)人。

通報(bào)了近期兩家企業(yè)在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問題。

工信部等部門要求兩家企業(yè)切實(shí)對(duì)相關(guān)問題限期予以整改；拒不整改或整改不到位的，將依法依規(guī)從嚴(yán)懲處。

總而言之，工信部建立網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)的初衷，本就是維護(hù)國內(nèi)網(wǎng)絡(luò)安全。

阿里云作為合作單位，既然加入了這一平臺(tái)，就應(yīng)該擔(dān)負(fù)起自己的責(zé)任，為維護(hù)人民群眾財(cái)產(chǎn)安全與合法權(quán)益出力。

而這次驚心動(dòng)魄的Log4j2漏洞事件，也無疑給全球開發(fā)者敲響了一記警鐘。

各位伙伴們好，詹帥本帥搭建了一個(gè)個(gè)人博客和小程序，匯集各種干貨和資源，也方便大家閱讀，感興趣的小伙伴請(qǐng)移步小程序體驗(yàn)一下哦?。g迎提建議）

推薦閱讀

牛逼！Python常用數(shù)據(jù)類型的基本操作（長文系列第①篇）

牛逼！Python的判斷、循環(huán)和各種表達(dá)式（長文系列第②篇）

牛逼！Python函數(shù)和文件操作（長文系列第③篇）

牛逼！Python錯(cuò)誤、異常和模塊（長文系列第④篇）