了解最新公司動態及行業資訊
阿里云因為一個安全漏洞,被推到了風口浪尖。
起因是11月24日,阿里云安全團隊向美國開源社區Apache(阿帕奇)報告了一條安全漏洞。這是一條Log4j2遠程代碼執行(RCE)漏洞,全球各地的安全機構都已發出了警告。
這原本只是一個小圈子內的事情,但隨著事態擴大,阿里云在這過程中的處置方法遭到了質疑。阿里云把這個安全漏洞報告給美國阿帕奇后,并沒有及時向國家工信部報告。直到15天后,工信部才知曉,并立即組織了有關網絡安全專業機構開展漏洞風險分析,向行業單位進行風險預警。
據中國日報報道,因為沒有及時向電信主管部門報告信息安全漏洞,工信部網絡安全管理局最終決定,暫停阿里云作為上述合作單位6個月。暫停期滿后,根據阿里云整改情況,研究恢復其上述合作單位。
不過,工信部網站只發布了風險提示,并沒有對阿里云進行相關處罰的通報?!耙驗槭菚和:献?,并非行政處罰?!睋晃恢槿耸客嘎?。
在行業人士看來,阿里云的做法符合之前的行業規范,但從今年開始,對于國內從事網絡安全的企業和人員提出了更多的要求。阿里云被處罰一事也在警示著大家:在信息安全面前,國家利益大于一切。
“核彈級”的漏洞
“Log4j2安全漏洞的影響面特別大?!绷帜暎ɑΑ敦斀浱煜隆分芸f,他是國內一位知名的網絡安全專家。
Log4j2的漏洞采用的是java的一個組件,用來寫日志,因為比較好用,所以被廣泛采用。林默聲介紹,用java開發的大部分東西都會用到Log4j的組件,所以這次出現漏洞之后,影響非常深遠。
據稱,攻擊者可以通過這個漏洞提取敏感數據、將文件上傳到服務器、刪除數據、安裝勒索軟件、或進一步散播到其它服務器。外界甚至將這一漏洞形容為“核彈級”。一位安全領域的專家告訴《財經天下》周刊,Log4j2作為組件一般位于軟件供應關系的底層,因此關于此漏洞的放大效應將逐漸顯現。
11月24日,這個漏洞率先被阿里云的團隊發現,并將這一信息報告給了Log4j的運營方阿帕奇基金會。
奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行了預警。而后,美國國家安全局、德國電信CERT也都緊急發出了安全預警,而我國工信部也將該安全漏洞定性為高危漏洞。
12月7日,在阿里云團隊發現漏洞后的兩周時間,Apache官方發布了安全補丁,可并沒有多大作用。
如果覺得文章還不錯,就點擊下面的注冊/關聯鏈接綁定您的賬號,給我們一點鼓勵和支持吧!
(注冊/關聯賬號表示同意我們成為您的服務商,享受優惠購買及免費技術支持,對您絕無不良影響,請放心關聯,不勝感激)
騰訊云注冊/關聯鏈接:點擊跳轉
華為云注冊/關聯鏈接:點擊跳轉
阿里云關聯請咨詢客服。
添加微信:,進云產品討論群,享受免費技術支持,了解更多最新云產品優惠資訊。