突然被工信部重罚!阿里云到底干了啥?
转自/扩展迷Extfans
作者/okay
12月9日晚,被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的“史诗级/核弹级漏洞”。
网络安全专家认为,这一漏洞潜在危害极大,甚至可能是“计算机历史上最大的漏洞”。
简单来说,就是攻击者可以利用漏洞远程执行代码,最终获得服务器的最高权限,相当于“我在你家想干什么就干什么”。
业内人士称,Log4j 2是近十年来可以排到top3的漏洞,影响面极广,包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。
Steam、三星、苹果、微软等科技巨头的云服务均受到了影响,推特和亚马逊也遭到了攻击,百度搜索、360搜索等都出现了问题。
事件发酵后,全球各大社交平台上,从事开发和网络安全的网友一片哀嚎,无数开发者通宵“补锅”,Github趋势榜也被Log4j漏洞相内容霸占。
据了解,Apache Log4j2是一个基于Java的日志记录工具,是目前最优秀的Java日志框架之一。
作为一个开源的底层组件,Log4j2被大量用于业务系统开发,用来记录程序输入输出日志信息。
它的用户有不少是体量极大的互联网公司,诸如谷歌、苹果和亚马逊等。
实际上,早在11月24日,阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。
12月7日,Apache Log4j官方发布2.15.0-rc1版本以修复漏洞。
但不知道出于何种原因,阿里云并未向国内电信主管部门及时上报。
这导致中国工信部是在收到网络安全专业机构报告后,才发现Log4j2组件存在严重安全漏洞。
12月22日,据21世纪经济报道消息,近期,工信部网络安全管理局通报称,阿里云计算有限公司(下称:阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息。
而工信部12月9日发现上述漏洞,距阿里云首次发现已经过去15天。
12月17日,工信部网络安全管理局才发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。
要知道,今年9月1日,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。
其中,《网络产品安全漏洞管理规定》第七条明确指出:
网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
对于阿里云此次未及时上报的行为,网络上众说纷纭。
有网友认为,“阿里云光想着获得世界声誉,没把国内安全当回事。”
尤其是在阿里云还是工信部合作单位的前提下,如此大的漏洞竟然没有上报,实在匪夷所思。
也有网友认为,不必上升到这个地步,这次大概只是阿里云员工内部培训疏忽了流程而已。
根据阿里最新发布财报显示,今年三季度,阿里云营收达200亿元。
在过去三年间,阿里云的海外市场规模增长了10倍以上,是亚洲规模最大的云计算平台。
但是今年以来,阿里云在国内便已被官方点名了3次(算上这次)。
今年8月,据浙江省通信管理局通报,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,已责令阿里云计算有限公司改正。
11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人。
通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。
工信部等部门要求两家企业切实对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。
总而言之,工信部建立网络安全威胁和漏洞信息共享平台的初衷,本就是维护国内网络安全。
阿里云作为合作单位,既然加入了这一平台,就应该担负起自己的责任,为维护人民群众财产安全与合法权益出力。
而这次惊心动魄的Log4j2漏洞事件,也无疑给全球开发者敲响了一记警钟。
各位伙伴们好,詹帅本帅搭建了一个个人博客和小程序,汇集各种干货和资源,也方便大家阅读,感兴趣的小伙伴请移步小程序体验一下哦!(欢迎提建议)
推荐阅读
牛逼!Python常用数据类型的基本操作(长文系列第①篇)
牛逼!Python的判断、循环和各种表达式(长文系列第②篇)
牛逼!Python函数和文件操作(长文系列第③篇)
牛逼!Python错误、异常和模块(长文系列第④篇)
突然被工信部重罚!阿里云到底干了啥?相关推荐
- 云栖大会·南京峰会落下帷幕,阿里云都干了些什么?
阿里云又耐不住寂寞干了几件大事儿. 昨天,阿里云云栖大会·南京峰会举行,此次大会的主题是"飞天·智能".按照以往惯例,在云栖大会上,阿里云方面会进行宣布合作或是发布产品,这次也不例 ...
- 有些疑问,阿里云到底是做啥子的呢?
我的解释是你在任何浏览器搜索阿里云都会找到文字描述的答案,然而今天我就从产品方面来给你全面解析阿里云: 一.阿里云弹性计算 云服务器ECS:可弹性扩展.安全.稳定.易用的计算服务 块存储:可弹性扩展. ...
- 对话行癫:解密阿里云顶层设计和底层逻辑
阿里妹导读:几十个问题,万字长文,阿里云新任总裁行癫履新后首次深入讨论阿里云对云计算未来的判断,深度解读未来阿里云生态战略,揭秘阿里技术委员会和阿里中台思想的原生思考. 以下是行癫接受媒体采访的原文. ...
- 为什么我不选阿里云(一)
我是资深阿里黑,"资深"体现在我黑阿里和阿里云从来有理有据,我不是小白用户,我本身就是云架构师,我目前主要推荐中国客户上Azure和AWS. 阿里巴巴(BABA)是一家怎样的公司 ...
- 舞动的桥 阿里云首个百万IOPS云盘的背后
摘要: 近日,阿里云推出了首个百万IOPS的ESSD云盘服务,性能上有50倍的飞跃,同时还具备超高吞吐.超低时延等特性,在真实业务场景中,PostgreSQL数据库的写入速度快了26倍. 如此超高的性 ...
- 对话行癫:解密阿里云顶层设计和底层逻辑 1
几十个问题,万字长文,阿里云新任总裁行癫履新后首次出面与钛媒体独家深入讨论了一下阿里云对云计算未来的判断,深度解读未来阿里云生态战略,揭秘阿里技术委员会和阿里中台思想的原生思考.转载自钛媒体,作者:刘 ...
- 独家对话行癫:最详解密阿里云顶层设计和底层逻辑
关注ITValue,查看企业级市场最新鲜.最具价值的报道! 阿里云智能总裁张建锋 ITValue注张建锋(花名行癫)的阿里生涯,一直在踩着技术与业务的交界线前进,某种意义上可以看作阿里战略重点转移的 ...
- 阿里云是干什么用的?针对新手用户的详细解答...
阿里云对于较少接触互联网的用户来说,还是有点陌生,很多新手用户可能只听过阿里云,但阿里云到底是做什么的?阿里云有什么用?都还不是很了解,今天由阿里云活动代金券免费领取平台"尊托云数zunto ...
- 阿里云开发者大会:资源加应用酝酿云存储变局
云存储的概念虽然是近两年提出的,但其实际应用早在10多年前便已随着基于互联网的 Email 系统而开始.最早由Hotmail 提出这一概念,如今 Gmail 成了这一领域的象征,其实质都是建立在云存储 ...
最新文章
- rpcgen的简单讲解及例子程序
- 关于bds2006里面的indy 问题!!!!!!
- UML中几种类间关系:继承、实现、依赖、关联、聚合、组合的联系与区别
- 2018-2019-2 20165330《网络对抗技术》Exp9 Web安全基础
- 中国34城最全剖析:深圳、天津的短板与不足,何时才能补?
- Linux下Poppler源码编译安装
- oo0ooo0ooo0oo_OoO的完整形式是什么?
- 洛谷 P1767 家族_NOI导刊2010普及(10)
- win10远程桌面 CredSSP加密Oracle修正的解决办法
- java读取各类型的文件
- react-router v4 路由规则解析
- html的外部调用函数,如何在HTML中调用外部JavaScript函数
- 【uni-app】uni-app实现手写签名效果:
- openwrite Test
- 程序猿也爱学英语,有图有真相!
- SpringBoot-使用分页插件(PageHelper)
- VSFTPD设置-允许root账户登录ftp
- 靶机16 GROTESQUE: 2
- 基于javaweb的医疗设备管理系统
- 换新网络后,群辉NAS如何手动更换为新静态IP
热门文章
- Java 程序员必须了解的 7 个性能指标
- php常用的四种排序算法
- Mysql的键值对操作ELT FIELD
- uni-app中使用lodash_uniapp适配到微信小程序注意事项
- java中如何声明外键约束_java – 如何使用Hibernate注释标记外键约束...
- 动画,视频处理的计算机系统,音视频与动画处理.ppt
- jq点击按钮获取php的值删除,通过jquery怎么移除点击事件
- eclipse opengl java_eclipse openGL glut运行环境配置
- html自动刷新 idea_IDEA设置热部署
- python pytorch fft_看PyTorch源代码的心路历程