千鸟泊绝

    IT之家12月23日消息，近日，工信部发布通报，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

    阿里云官方今日回应称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

    以下为阿里云官方回应全文：

    Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

    近日，阿里云一名研发工程师发现Log4j2组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

    阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

    IT之家了解到，本月阿里云计算有限公司发现了Java日志库的阿帕奇ApacheLog4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。这一组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。漏洞编号为：CVE-2021-45046。

    12月17日，工信部网络安全管理局发布关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示。官方表示，12月9日收到了有关网络安全专业机构报告，表示这一组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

    举报/反馈

    发表评论

    发表神评妙论

    发表

    评论列表（35条）

    Demem1a

    本IT从业者表示，开源软件报告给开发者团队，是开发者的共识。国家要干涉，以后可以顺便上报。但是没必要上纲上线到爱国之类。

    49分钟前

    回复

    462

    hu53542316cs

    阿里的后面可是美日控股57%这个漏洞如果不上纲上线那也太儿戏了

    11分钟前

    回复

    1

    fei19880420

    这不是上纲上线，国家有明文规定的，在上报开发组织后2日内，要上报工信部的。

    15分钟前

    回复

    24

    衡之以持

    log4j2用了这么多年了，才发现漏洞，那么阿里没发现之前岂不是被利用那么多年，好可怕//@按耐不住De青春：这你就错了，先上报美国，有被美国利用漏洞的风险！国家根本没有阻止你上报开源社区！

    17分钟前

    回复

    2

    按耐不住De青春

    这你就错了，先上报美国，有被美国利用漏洞的风险！国家根本没有阻止你上报开源社区！

    26分钟前

    回复

    94

    百度网友d791229

    同IT开发。他们那其实就跟工信部约定好了，但是没做好被处罚而已。不至于上纲上线。被罚很正常。

    30分钟前

    回复

    55

    收起

    托卡玛克

    12月9日全行业都知道这个bug了，12月17日工信部才发通告，阿里程的工程师程序上是有错，但工信部这个业务能力，一点反省都没有，把责任全推给阿里与，真是要你何用？

    41分钟前

    回复

    351

    战神隆美尔元帅

    开源产品，就会有这样的问题。这就又引发了一个问题，到底发现Bug应该先报告给谁的问题，是应该先与开源软件开发社区确认？还是先应该报告给谁呢？

    56分钟前

    回复

    108

    易大圣谈公考

    教育领域创作者

    这不是先后的问题，按照法规，2日内报国家。按行规，尽快报开源组织。两者不冲突，谢谢

    47分钟前

    回复

    166

    LinYa433

    别人是开源的代码，肯定先报告给作者，这个有什么问题？难道全中国就阿里用java吗？

    46分钟前

    回复

    161

    叶神月夜

    问题是你先报给美国是啥意思

    1小时前

    回复

    223

    王少杰云盘

    隔行如隔山，不要人云亦云，如果没有弄清楚事件前因后果，不要轻易的下结论。

    6分钟前

    回复

    赞

    xie448918041

    不用什么公司，可能你没明白公司的公共的，但是公司的存在是有国家属性的！！！

    6分钟前

    回复

    1

    全部4条回复

    又见花花

    工信部、国家网信办、公安部联合印发《网络产品安全漏洞管理规定》，网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息，并及时进行修补，将修补方式告知可能受影响的产品用户。轻点说是违法，重点说就是危害国家安全的叛国行为

    34分钟前

    回复

    128

    lktsllj

    阿里没有国家观念太弱

    1小时前

    回复

    165

    百度网友d210c2eec

    暂停合作是不是意味着，这6个月期间备案将不被受理

    1小时前

    回复

    62

    柠檬少年Coco

    最主要是云服务器其实就是讲究一个安全和稳定，阿里这个操作国家不一定敢给他订单了啊，毕竟华为云现在崛起的非常快

    10分钟前

    回复

    赞

    qingqingbaoxia

    应该是发现了怕被罚或不合作才不敢报

    38分钟前

    回复

    8

    千军叱咤

    至少可以做到同时报告！

    49分钟前

    回复

    71

    D藕

    你阿里会不知道这个漏洞的严重性，谁信！

    1小时前

    回复

    535

    圣剑刺穿美帝

    对门邻居家着火了，首先想到的是打119,而不是满世界去找邻居。我最担心的是火灾会不会给我造成损失，对门烧没了也没我的责任。

    17分钟前

    回复

    赞

    衡之以持

    log4j2用了这么多年了，才发现漏洞，那么阿里没发现之前岂不是被利用那么多年，好可怕//@按耐不住De青春：这你就错了，先上报美国，有被美国利用漏洞的风险！国家根本没有阻止你上报开源社区！

    15分钟前

    回复

    2

    十方无敌1

    阿里这种垄断公司早就该治了

    26分钟前

    回复

    5

    百度网友210e3e8

    某个问题在于什么时候确认这是个Log4j漏洞

    4分钟前

    回复

    赞

    现花文9

    我用腾讯云

    54分钟前

    回复

    4

    edwardw0309

    用腾讯还不如用阿里。

    48分钟前

    回复

    17

    普齐9131289655

    阿里先报告美国，这一点就该严惩不贷

    1小时前

    回复

    287

    百度网友a4f2bbf

    一看就是外行

    8分钟前

    回复

    4

    百度网友b5775bce3

    没问题，但是你的客户还在裸奔，难道不需要通知客户一声吗。在你上报社区后，社区里有人通过漏洞攻击客户怎么办，也没有想过？

    13分钟前

    回复

    1

    lcslcs440

    提交阿帕奇社区，没什么不妥，但是为什么没有上报国家//@耿Sir很努力：发现bug，提交阿帕奇社区，有什么不妥吗？

    16分钟前

    回复

    7

    1093849255

    严惩//@耿Sir很努力：发现bug，提交阿帕奇社区，有什么不妥吗？

    36分钟前

    回复

    6

    耿Sir很努力

    发现bug，提交阿帕奇社区，有什么不妥吗？

    53分钟前

    回复

    154

    墨羽兰心

    网络爱国

    1小时前

    回复

    140

    收起

    没有更多啦