行業動態

12月17日，工業和信息化部網絡安全管理局通報稱，提醒有關單位和公眾“密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本”。

“阿帕奇（Apache）Log4j2組件”是基于Java語言的開源日志框架，包括控制Java類系統日志信息生成、打印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用于各種應用程序和網絡服務。

此通報一出，引發“IT”圈的震動。

“前幾天一直在加班加點做補丁，”一位搜索引擎網站的開發工程師對《財經》E法表示，“這個組件覆蓋面極大，影響到的企業也非常多。我認識的大多數業內同行都在為這事兒加班。這是一個‘超級史詩’漏洞?！?/p>

12月22日，有接近工信部的消息人士透露，工信部網絡安全管理局的一次內部通報指出，因阿里云公司發現Log4j2組件嚴重安全漏洞隱患后，未及時向主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理，阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據阿里云的整改情況，研究恢復其上述合作單位。

12月23日晚間，阿里云通過官方微信公號發布了聲明，稱“因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息”，并強調將強化漏洞管理、提升合規意識。

Log4j2組件的這個漏洞可能的影響究竟多大？阿里云又為何被處罰？

一、Log4j2組件是什么？漏洞影響有多大？

在12月23日晚間的通報中，阿里云表示：“近日，阿里云一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，并向全球發布修復補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞?！?/p>

阿里云微信公眾號23日晚間發布的情況說明。

工信部在12月17日發布的通報中表示，自身是于12月9日接到“有關網絡安全專業機構”報告，稱Log4j2 組件存在“嚴重安全漏洞”。

而阿里云官網則于12月9日晚11時左右發布漏洞通告，稱安全團隊發現Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應的修復方案。

一個值得注意的細節是，多位IT界人士對《財經》E法透露，根據自已所在公司的內部通報和“各類信息來源”，阿里云可能在更早的11月末就已發現這一重大漏洞“Log4Shell”，并向總部位于美國的阿帕奇軟件基金會（Apache Software Foundation）報告。

阿帕奇軟件基金會（Apache）于1999年在美國成立，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟件產品都遵循Apache許可證（Apache License）。

如果覺得文章還不錯，就點擊下面的注冊/關聯鏈接綁定您的賬號，給我們一點鼓勵和支持吧！

（注冊/關聯賬號表示同意我們成為您的服務商，享受優惠購買及免費技術支持，對您絕無不良影響，請放心關聯，不勝感激）

騰訊云注冊/關聯鏈接：點擊跳轉

華為云注冊/關聯鏈接：點擊跳轉

阿里云關聯請咨詢客服。

添加微信：，進云產品討論群，享受免費技術支持，了解更多最新云產品優惠資訊。