Java日志框架Log4j2漏洞最早是被阿里云安全团队发现的,并在2021年11月24日报告给了Apache官方。随后,在2021年12月7日Apache官方发布了针对此漏洞的补丁版( log4j-2.15.0-rc1 ),接下来,情况急转直下,12月9日,网络中出现了利用此漏洞的攻击行为。(据分析可能是黑客根据官方补丁包,研究出了前序版本的漏洞,并发动了攻击)
工业和信息化部网络安全管理局通报称,阿里云计算有限公司是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
国内某安全公司内部通告:
阿里云将该漏洞第一时间报给了美国Apache公司,并未向我国工信部报备该漏洞,且间隔17天后Apache公司发布补J才对公众公布此事。(一般公司产品漏洞的修复时间及发布补丁不会超过三天)在此期间,如果利用漏洞发起攻击,影响的范围堪比2017年"永恒之蓝"病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。
目前中美形势十分紧张,美对我网络攻击持续渗透中,国安、部委正在排查我国资产受否已受到境外攻击,造成信息被窃取或者服务器、系统被植入木马等损失。
12月12日下午工信部组织阿里云及奇安信等安全厂商开了关于阿帕奇漏洞的会议。会上工信部点名批评了阿里云未能及时将此事报备国内。
12月14日,获悉新华社已将此漏洞情况以内参形式报送至中办、国办,由于此漏洞影响过大,目前监管还在忙于漏洞的处置,下一步中办、国办有追责工信部的可能,对我集团有问责风险,建议业务团队和GR对此事持续关注。
阿里云发现这个漏洞,还是比较严重的漏洞,立马通知国外,但是不报告国内,还得等国外宣布了,才通知,这算啥????
阿里这混蛋吃里扒外。
严格来说,违法了。大里说,违反《中华人民共和国网络安全法》。小里说,违反《网络产品安全漏洞管理规定》。
《网络产品安全漏洞管理规定》:
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。