了解最新公司動態及行業資訊
12月17日,工業和信息化部網絡安全管理局通報稱,提醒有關單位和公眾“密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本”。
“阿帕奇(Apache)Log4j2組件”是基于Java語言的開源日志框架,包括控制Java類系統日志信息生成、打印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用于各種應用程序和網絡服務。
此通報一出,引發“IT”圈的震動。
“前幾天一直在加班加點做補丁,”一位搜索引擎網站的開發工程師對《財經》E法表示,“這個組件覆蓋面極大,影響到的企業也非常多。我認識的大多數業內同行都在為這事兒加班。這是一個‘超級史詩’漏洞?!?/p>
12月22日,有接近工信部的消息人士透露,工信部網絡安全管理局的一次內部通報指出,因阿里云公司發現Log4j2組件嚴重安全漏洞隱患后,未及時向主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理,阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。暫停期滿后,根據阿里云的整改情況,研究恢復其上述合作單位。
12月23日晚間,阿里云通過官方微信公號發布了聲明,稱“因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息”,并強調將強化漏洞管理、提升合規意識。
Log4j2組件的這個漏洞可能的影響究竟多大?阿里云又為何被處罰?
一、Log4j2組件是什么?漏洞影響有多大?
在12月23日晚間的通報中,阿里云表示:“近日,阿里云一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞,并向全球發布修復補丁。隨后,該漏洞被外界證實為一個全球性的重大漏洞?!?/p>
阿里云微信公眾號23日晚間發布的情況說明。
工信部在12月17日發布的通報中表示,自身是于12月9日接到“有關網絡安全專業機構”報告,稱Log4j2 組件存在“嚴重安全漏洞”。
而阿里云官網則于12月9日晚11時左右發布漏洞通告,稱安全團隊發現Apache Log4j 2.15.0-rc1版本存在漏洞繞過,要求用戶及時更新版本,并向用戶介紹該漏洞的具體背景及相應的修復方案。
一個值得注意的細節是,多位IT界人士對《財經》E法透露,根據自已所在公司的內部通報和“各類信息來源”,阿里云可能在更早的11月末就已發現這一重大漏洞“Log4Shell”,并向總部位于美國的阿帕奇軟件基金會(Apache Software Foundation)報告。
阿帕奇軟件基金會(Apache)于1999年在美國成立,是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟件產品都遵循Apache許可證(Apache License)。
如果覺得文章還不錯,就點擊下面的注冊/關聯鏈接綁定您的賬號,給我們一點鼓勵和支持吧!
(注冊/關聯賬號表示同意我們成為您的服務商,享受優惠購買及免費技術支持,對您絕無不良影響,請放心關聯,不勝感激)
騰訊云注冊/關聯鏈接:點擊跳轉
華為云注冊/關聯鏈接:點擊跳轉
阿里云關聯請咨詢客服。
添加微信:,進云產品討論群,享受免費技術支持,了解更多最新云產品優惠資訊。