IT之家12月23日消息,近日,工信部发布通报,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
阿里云官方今日回应称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
以下为阿里云官方回应全文:
Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。
阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
IT之家了解到,本月阿里云计算有限公司发现了Java日志库的阿帕奇ApacheLog4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。这一组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。漏洞编号为:CVE-2021-45046。
12月17日,工信部网络安全管理局发布关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示。官方表示,12月9日收到了有关网络安全专业机构报告,表示这一组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
举报/反馈
发表评论
发表神评妙论
发表
评论列表(35条)
Demem1a
本IT从业者表示,开源软件报告给开发者团队,是开发者的共识。国家要干涉,以后可以顺便上报。但是没必要上纲上线到爱国之类。
49分钟前
回复
462
hu53542316cs
阿里的后面可是美日控股57%这个漏洞如果不上纲上线那也太儿戏了
11分钟前
回复
1
fei19880420
这不是上纲上线,国家有明文规定的,在上报开发组织后2日内,要上报工信部的。
15分钟前
回复
24
衡之以持
log4j2用了这么多年了,才发现漏洞,那么阿里没发现之前岂不是被利用那么多年,好可怕//@按耐不住De青春:这你就错了,先上报美国,有被美国利用漏洞的风险!国家根本没有阻止你上报开源社区!
17分钟前
回复
2
按耐不住De青春
这你就错了,先上报美国,有被美国利用漏洞的风险!国家根本没有阻止你上报开源社区!
26分钟前
回复
94
百度网友d791229
同IT开发。他们那其实就跟工信部约定好了,但是没做好被处罚而已。不至于上纲上线。被罚很正常。
30分钟前
回复
55
收起
托卡玛克
12月9日全行业都知道这个bug了,12月17日工信部才发通告,阿里程的工程师程序上是有错,但工信部这个业务能力,一点反省都没有,把责任全推给阿里与,真是要你何用?
41分钟前
回复
351
战神隆美尔元帅
开源产品,就会有这样的问题。这就又引发了一个问题,到底发现Bug应该先报告给谁的问题,是应该先与开源软件开发社区确认?还是先应该报告给谁呢?
56分钟前
回复
108
易大圣谈公考
教育领域创作者
这不是先后的问题,按照法规,2日内报国家。按行规,尽快报开源组织。两者不冲突,谢谢
47分钟前
回复
166
LinYa433
别人是开源的代码,肯定先报告给作者,这个有什么问题?难道全中国就阿里用java吗?
46分钟前
回复
161
叶神月夜
问题是你先报给美国是啥意思
1小时前
回复
223
王少杰云盘
隔行如隔山,不要人云亦云,如果没有弄清楚事件前因后果,不要轻易的下结论。
6分钟前
回复
赞
xie448918041
不用什么公司,可能你没明白公司的公共的,但是公司的存在是有国家属性的!!!
6分钟前
回复
1
全部4条回复
又见花花
工信部、国家网信办、公安部联合印发《网络产品安全漏洞管理规定》,网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。轻点说是违法,重点说就是危害国家安全的叛国行为
34分钟前
回复
128
lktsllj
阿里没有国家观念太弱
1小时前
回复
165
百度网友d210c2eec
暂停合作是不是意味着,这6个月期间备案将不被受理
1小时前
回复
62
柠檬少年Coco
最主要是云服务器其实就是讲究一个安全和稳定,阿里这个操作国家不一定敢给他订单了啊,毕竟华为云现在崛起的非常快
10分钟前
回复
赞
qingqingbaoxia
应该是发现了怕被罚或不合作才不敢报
38分钟前
回复
8
千军叱咤
至少可以做到同时报告!
49分钟前
回复
71
D藕
你阿里会不知道这个漏洞的严重性,谁信!
1小时前
回复
535
圣剑刺穿美帝
对门邻居家着火了,首先想到的是打119,而不是满世界去找邻居。我最担心的是火灾会不会给我造成损失,对门烧没了也没我的责任。
17分钟前
回复
赞
衡之以持
log4j2用了这么多年了,才发现漏洞,那么阿里没发现之前岂不是被利用那么多年,好可怕//@按耐不住De青春:这你就错了,先上报美国,有被美国利用漏洞的风险!国家根本没有阻止你上报开源社区!
15分钟前
回复
2
十方无敌1
阿里这种垄断公司早就该治了
26分钟前
回复
5
百度网友210e3e8
某个问题在于什么时候确认这是个Log4j漏洞
4分钟前
回复
赞
现花文9
我用腾讯云
54分钟前
回复
4
edwardw0309
用腾讯还不如用阿里。
48分钟前
回复
17
普齐9131289655
阿里先报告美国,这一点就该严惩不贷
1小时前
回复
287
百度网友a4f2bbf
一看就是外行
8分钟前
回复
4
百度网友b5775bce3
没问题,但是你的客户还在裸奔,难道不需要通知客户一声吗。在你上报社区后,社区里有人通过漏洞攻击客户怎么办,也没有想过?
13分钟前
回复
1
lcslcs440
提交阿帕奇社区,没什么不妥,但是为什么没有上报国家//@耿Sir很努力:发现bug,提交阿帕奇社区,有什么不妥吗?
16分钟前
回复
7
1093849255
严惩//@耿Sir很努力:发现bug,提交阿帕奇社区,有什么不妥吗?
36分钟前
回复
6
耿Sir很努力
发现bug,提交阿帕奇社区,有什么不妥吗?
53分钟前
回复
154
墨羽兰心
网络爱国
1小时前
回复
140
收起
没有更多啦