您的位置: 全球教育网> 新闻> 本文

阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果?

发布时间: 2021-12-24 10:55:31      来源:网络      作者:wym

12月23日,工信部就因开源社区存在漏洞而暂停合作单位资格的事件,阿里云表示,该公司没有及时分享漏洞信息,并将加强漏洞报告管理。究竟怎么一回事呢,下面请跟随小编一起来看看吧!

日前,工信部发布消息,由于阿里云发现Apache(Apache)Log4j2组件存在严重安全隐患,未能及时向主管部门报告,未能有效支持工信部开展网络安全威胁和漏洞管理工作。经调查,阿里云公司暂停担任上述合作单位6个月。

阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果?

对此,阿里云发布了一个开源社区Apachelog4j2漏洞的指南。Log4j2是开源社区阿帕奇(Apache)的开源日志组件,广泛应用于全球的商业系统开发。不久前,阿里云的一名研发工程师发现了Log4j2组件的安全漏洞,于是按照行业惯例,通过邮件向软件开发者Apache开源社区求助。Apache的开源社区已经确认了这个安全漏洞,并且已经在全球范围内得到了解决。之后,这个漏洞被外界认为是一个全球性的大漏洞。

阿里云表示,由于早期没有意识到漏洞的严重性,漏洞信息不能及时共享。此后,阿里云将加强漏洞管理,提高对合规性的认识,积极配合各方开展网络安全防范工作。

12月22日,阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引起了社会各界的广泛关注。

这事发生在一个月之前。之后,阿里云团队中的一名成员发现了ApacheLog4j2组件存在严重安全漏洞,便立即通知位于美国的阿帕奇软件基金会,但未能及时通知中国工信部。事发半个月后,中国工信部接到网络安全专业机构的报告,才发现阿帕奇部件存在严重安全漏洞。

Apache部分到底有什么漏洞?阿里云没有及时通报的后果如何?在发现安全隐患后,内资企业应该采取什么程序通知?观察站就以上问题采访了一些业界人士。

缺损银行联合创始人、CTO张雪松在接受观察者采访时指出,Log4j2组件被极其广泛地使用,漏洞的危害将会迅速扩散到各个领域。由于阿里云未能及时向中国有关部门报告相关漏洞,直接导致了国内相关机构处于被动地位。

阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果?

针对网络世界中Log4j2组件的重要作用,国外网友用漫画的方式来描述它。如图所示,没有Log4j2组件的支持,所有现代数字基础架构都面临着崩溃的风险。

根据公开信息,阿里云安全团队发现了一个漏洞,而ApachLog4j2是一款开源Java日志工具。很多业务框架,控制Java类系统日志信息的生成,打印输出,格式配置,等等。因此,它被广泛应用于各种应用和网络服务。

行业资深人士告诉观察者网,Log4j2组件的安全漏洞主要涉及两个方面:第一,Log4j2本身对于java类系统有着极其广泛的应用,并且使用全球Java框架。其次,由于利用条件很低,技术门槛很少,漏洞细节被公开。因其应用范围广泛,漏洞利用难度低,因此影响迅速扩散并在各个行业领域迅速蔓延。

该漏洞允许网络攻击者无需密码就可以访问网络服务器。

这并非耸人听闻。国外媒体如美联社报道,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在所有工业部门、政府部门中都广泛使用,甚至罪犯、间谍、程序新手都可以轻易地利用这一漏洞进入内部网络,盗取信息,植入恶意软件,删除重要信息等等。

尽管如此,阿里云还是发现了这个“过去十年里最大也是最关键的漏洞,不符合《网络产品安全漏洞管理规定》第七条的要求,在工信部网络安全威胁和漏洞信息共享平台2天内提交信息,并将相关信息告知阿帕奇软件基金会。

阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果?

从公共资料来看,观察者网发现,Apache(Apache)成立于1999年,是一家专门支持开源软件项目的非赢利机构。Apache授权(Apache授权)(ApacheLicense)发布了Apache项目所支持的子项目。

12月10日,阿里云向阿帕奇软件基金会通报了半个多月之后,为了得到相关信息,中国信息安全漏洞共享平台,而且,有消息称,“关于ApacheLog4j2存在远程代码执行漏洞的安全通知”已经发布,Apache官方已经发布了修复漏洞的补丁,并建议受影响的用户立即进行更新,并采取预防措施,阻止了漏洞攻击。

事实上,国内的网络漏洞报送流程比较清晰。行业人士向观察人士表示,行业普遍采用的报送程序是,"工业和信息化部"网络安全管理局>国家信息安全漏洞共享平台>CVE>中国信息安全测评中心>国家信息安全漏洞库>国际非营利性组织CVE>会员单位>CVE;非会员单位或个人注册提交CNVD或CNNVD。

CVE(GeneralSharedReview)是一个国际非盈利组织,负责协调企业解决安全问题,因为这个技术委员会最初是在美国成立的,所以组织管理机构主要在美国。CNVD相对于CNVD而言,是中国的信息安全漏洞信息共享平台,由国内主要的信息系统单位、基础电信运营商、网络安全厂商、软件厂商、因特网企业等建立起信息安全漏洞知识共享平台。

上述业内人士认为,阿里这次因受漏洞影响较大,因此将其作为典型通报。在CNVD成立之前和最近几年,国内安全机构对CVE形成了共识,得到了越来越多的认可和推广,一项常见的漏洞安全性研究将提交给CVE,虽然近两年来已在全国建立,但尚未普及,估计阿里安全研究员提交漏洞,认为是个人的技术成果问题,上报国际组织协调修复即可。

阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果?

但根据最新发布的《网络产品安全漏洞管理规定》,国内安全研究人员发现漏洞后提交CNVD,CNVD将启动向CVE报送流程,协调厂商和企业安全漏洞,不得直接向国外漏洞平台提交。

由于阿里云没有有效地支持工信部开展网络安全威胁和漏洞管理工作,经工信部研究,决定暂停阿里云作为上述合作单位。关闭后,根据阿里云的整改情况,研究恢复上述合作单位。

业内人士对观察家指出,工信部这次把目标对准了阿里,其实也是向国内网络安全行业的从业者发出警告。最终,阿里受到了轻微的处罚,一是无法踢出俱乐部的球员,仅暂停了6个月。其次,工信部没有对这次事故中的安全研究人员做出个人行政处罚或警告,只是谴责直接向国外报送CVE的Log4j漏洞的安全专家提出批评。

以上就是小编为大家报道的全部关于此次阿里云回应未及时上报漏洞被处罚;早期未意识到严重性!将会造成什么后果的全部内容。


猜你喜欢

外交部回应美方签署涉疆法案;若美方一意孤行推进涉疆法案中方必坚决回应!美粗暴干涉中国内政!

蓓盈联盟专业课_蓓盈联盟信息公告_蓓盈联盟名单

急!急!急!imtoken快讯通告!老用户请注意!

tag标签

本文网址:http://zhgzxedu.com/xinwen/8299.html

声明:本站原创/投稿文章所有权归全球教育网所有,转载务必注明来源;文章仅代表原作者观点,不代表全球教育网立场;如有侵权、违规,可直接反馈本站,我们将会作删除处理。

最新文章