行業動態

阿里云因為一個安全漏洞，被推到了風口浪尖。

起因是11月24日，阿里云安全團隊向美國開源社區Apache（阿帕奇）報告了一條安全漏洞。這是一條Log4j2遠程代碼執行（RCE)漏洞，全球各地的安全機構都已發出了警告。

這原本只是一個小圈子內的事情，但隨著事態擴大，阿里云在這過程中的處置方法遭到了質疑。阿里云把這個安全漏洞報告給美國阿帕奇后，并沒有及時向國家工信部報告。直到15天后，工信部才知曉，并立即組織了有關網絡安全專業機構開展漏洞風險分析，向行業單位進行風險預警。

據中國日報報道，因為沒有及時向電信主管部門報告信息安全漏洞，工信部網絡安全管理局最終決定，暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。

不過，工信部網站只發布了風險提示，并沒有對阿里云進行相關處罰的通報?！耙驗槭菚和：献?，并非行政處罰?！睋晃恢槿耸客嘎?。

在行業人士看來，阿里云的做法符合之前的行業規范，但從今年開始，對于國內從事網絡安全的企業和人員提出了更多的要求。阿里云被處罰一事也在警示著大家：在信息安全面前，國家利益大于一切。

“核彈級”的漏洞

“Log4j2安全漏洞的影響面特別大?！绷帜暎ɑΑ敦斀浱煜隆分芸f，他是國內一位知名的網絡安全專家。

Log4j2的漏洞采用的是java的一個組件，用來寫日志，因為比較好用，所以被廣泛采用。林默聲介紹，用java開發的大部分東西都會用到Log4j的組件，所以這次出現漏洞之后，影響非常深遠。

據稱，攻擊者可以通過這個漏洞提取敏感數據、將文件上傳到服務器、刪除數據、安裝勒索軟件、或進一步散播到其它服務器。外界甚至將這一漏洞形容為“核彈級”。一位安全領域的專家告訴《財經天下》周刊，Log4j2作為組件一般位于軟件供應關系的底層，因此關于此漏洞的放大效應將逐漸顯現。

11月24日，這個漏洞率先被阿里云的團隊發現，并將這一信息報告給了Log4j的運營方阿帕奇基金會。

奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行了預警。而后，美國國家安全局、德國電信CERT也都緊急發出了安全預警，而我國工信部也將該安全漏洞定性為高危漏洞。

12月7日，在阿里云團隊發現漏洞后的兩周時間，Apache官方發布了安全補丁，可并沒有多大作用。

如果覺得文章還不錯，就點擊下面的注冊/關聯鏈接綁定您的賬號，給我們一點鼓勵和支持吧！

（注冊/關聯賬號表示同意我們成為您的服務商，享受優惠購買及免費技術支持，對您絕無不良影響，請放心關聯，不勝感激）

騰訊云注冊/關聯鏈接：點擊跳轉

華為云注冊/關聯鏈接：點擊跳轉

阿里云關聯請咨詢客服。

添加微信：，進云產品討論群，享受免費技術支持，了解更多最新云產品優惠資訊。