未及时上报安全漏洞,阿里云被通报

奇谈君 2021-12-2221:52:54 评论 487

据媒体报道,工信部网络安全管理局通报称,阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位

据了解,Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具,是基于Java语言的开源日志框架,被广泛用于业务系统开发。

未及时上报安全漏洞,阿里云被通报

国外社交媒体用户以漫画的形式,说明Log4j的重要性

关于Log4j组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。按这个图片解读,如果没有Log4j组件的支撑,所有现代数字基础设施都存在倒塌的危险。

工信部网络安全管理局曾在17日发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。其中指出,阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。

随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

多名云计算业内人士表示,这是一个非常基础的日志库漏洞。由于组件使用量很大,几乎所有的java程序都会涉及,所以影响面很大。

“目前来看,是阿里更早发现了这个漏洞,并将问题反馈给了Apache基金会,之后Apache为Log4j发布了新版补丁修复。但是,阿里云没有及时去向工信部申报。主要错误在于没有重视上报流程和申报漏洞。”有业内人士表示。

根据今年9月1日施行的工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。

据此前报道,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。而根据公告,工信部是12月9日才收到上述漏洞的报告,距离阿里云首次发现已经过去了2个星期。

梳理此次阿帕奇严重安全漏洞的时间线如下:

11月24日,阿里云在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。

12月9日,中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。

12月9日,阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日,中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

12月10日,阿里云在官网公告披露,安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日,中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。

12月22日,工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

奇谈君

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: