阿里巴巴盘前跌近4%!阿里云被工信部暂停合作

老虎资讯综合2021-12-22

12月22日,阿里巴巴盘前跌近4%,此前阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位。

据媒体报道,工信部网络安全管理局通报称,阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

据了解,Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具,是基于Java语言的开源日志框架,被广泛用于业务系统开发。

工信部网络安全管理局曾在17日发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。其中指出,阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。

随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

多名云计算业内人士告诉记者,这是一个非常基础的日志库漏洞。由于组件使用量很大,几乎所有的java程序都会涉及,所以影响面很大。

“目前来看,是阿里更早发现了这个漏洞,并将问题反馈给了Apache基金会,之后Apache为Log4j发布了新版补丁修复。但是,阿里云没有及时去向工信部申报。主要错误在于没有重视上报流程和申报漏洞。”有业内人士表示。

根据今年9月1日施行的工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。

据此前报道,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。而根据公告,工信部是12月9日才收到上述漏洞的报告,距离阿里云首次发现已经过去了2个星期。

免责声明:本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性做出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任。

精彩评论

  • zjmting
    2021-12-22
    zjmting
    [开心] 
  • 永遇乐
    2021-12-22
    永遇乐
    通报批评的对,这么大的事,应该第一时间想到可能危机国家安全,看来还是缺乏爱国爱民的意识呀
  • 让子弹再飞一会
    2021-12-22
    让子弹再飞一会
    无语了。。。。  
  • 叮咛噹
    2021-12-22
    叮咛噹
    工信部🐂
  • 嘞撸虎7
    2021-12-22
    嘞撸虎7
发表看法
9