阿里云因发现Log4j2核弹级漏洞但未及时上报，被工信部处罚...

Linux中文社区 2023-09-18

收录于合集 #Linux中文社区 435个

推荐大家关注一个公众号

点击上方 "Linux中文社区" 关注，星标或者置顶

21点00分准时推送，第一时间送达

责编：中文妹 | 来源：21财经
链接：m.21jingji.com/timestream/html/%7BU9Pjf0FaKEU=%7D

大家好，我是中文妹。

12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

12 月 10 日上午，阿里云安全团队再次发出预警，发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，建议及时更新至 Apache Log4j 2.15.0-rc2 版本。

12 月 10 日凌晨，对很多程序员来说可能是一个不眠之夜。Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，由于 Log4j 的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。另外搜索公众号Java架构师技术后台回复“面试题”，获取一份惊喜礼包。

Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。根据“微步在线研究响应中心”消息，可能的受影响应用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互联网企业都连夜做了应急措施。另外搜索公众号顶级算法后台回复“算法心得”，获取一份惊喜礼包。

斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示，鉴于该漏洞影响范围比较大，业务自查及升级修复需要一定时间，暂不接收 Log4j2 相关的远程代码执行漏洞。

后续，Log4j2 的维护者之一 @Volkan Yazıcı 发声:没有工资，还要挨骂！！

Log4j2 维护者只有几个人，他们无偿、自愿地工作，没有人发工资，也没人提交代码修复问题，出了问题还要被一堆人在仓库里留言痛骂。

12月17日，工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。

近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。

暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

前几天还觉得阿里云真牛，发现了影响全球的核弹级漏洞，转手就被处罚了？

总觉得有点不太对，但又说不上来哪里不对，对于此事，你怎么看呢？留言区见..

声明：本文部分素材转载自互联网，如有侵权立即删除。

--END--