易坊好文馆

  1. 首页 > 生活 >

log4j|阿里云未能“慧眼识大漏洞”,被工信部暂停信息共享平台合作

信息安全 资质 风险 昌旭 风险评估 提供方



log4j|阿里云未能“慧眼识大漏洞”,被工信部暂停信息共享平台合作
文章插图
雷达财经 文|张凯旌 编|深海
外界还在讨论薇娅的封杀会对淘宝电商带来怎样的影响时,阿里云业务又出事了。
12月23日,阿里云微信官方公众号发文称,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方阿帕奇(Apache)开源社区报告这一问题并请求帮助。
据了解,Log4j2是开源社区Apache旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
后经Apache开源社区确认和证实,这是一个全球性的重大安全漏洞,虎嗅报道称,该漏洞被认为可能是“计算机历史上最大的漏洞”。而阿里云由于在早期未意识到该漏洞的严重性,未能及时共享漏洞信息。
因发现漏洞未及时报告,12月22日,阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月。
【 log4j|阿里云未能“慧眼识大漏洞”,被工信部暂停信息共享平台合作】受消息面影响,12月22日,阿里巴巴港股盘初涨超5%,但后续阿里盘中转跌,最后收盘涨幅仅有0.88%;美东时间12月22日,阿里美股出现了4.20%的跌幅。
据报道,11月24日,阿里云发现该漏洞后,率先向Apache软件基金会进行了披露,而奥地利和新西兰官方的计算机应急小组也得以率先对这一漏洞进行预警,但中国工信部则是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
一位自称是Linux工程师的网友解释称,工信部获知此消息的时间,是Apache已经在自己的版本上处理完了这个漏洞后,公开披露的日子,“这就相当于大家都知道了,然后才有人过来告诉你。”
而阿里云本是工信部网络安全威胁信息共享平台合作单位,根据工信部、国家网信办、公安部印发的《网络产品安全漏洞管理规定》第七条,网络产品提供者发现漏洞后,“应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。”
有观点认为,此举反映了阿里云的法律观念淡薄。
值得一提的是,此次涉事中心的Log4j是被广泛应用在服务器上的软件。据网络安全公司Check Point称,迄今为止,Log4j在GitHub项目的下载量已超过400000次,包括微软、Twitter、苹果、亚马逊、百度、网易等在内的全球多数流行公司都在使用它。
而出现的漏洞则可能导致设备远程控制,敏感信息被盗、设备服务中断等严重危害,行业人士将其比喻为“相当于把自己家的钥匙给了路人”。
另外,开源软件自身开放共享的特性也可能助推漏洞的传播,这可能导致漏洞带来的影响持续3-5年,甚至更长。
有专业人士称,“在未来几周和几个月内,该漏洞引发勒索软件攻击的可能性‘非常高’,这只是时间问题。”据报道,目前市面上已经出现了两个针对 Log4j漏洞的勒索软件,其中一个早期主要针对中国,现已将范围扩大到了美国和欧洲。
雷达财经注意到,事件背后的阿里,年内负面消息缠身。
根据阿里2022财年二季度(2021年第三季度)财报,公司报告期内营收增速不及市场预期,如果刨除并表高鑫零售的影响,阿里该季度收入增速将降至2014年美股上市以来最低;公司非美国会计准则下调整后净利润还出现了同比下降39%的情况。
数据显示,阿里受反垄断等影响,已开始在核心电商业务领域采取让利等措施来留住商家,但即便如此,公司也无法在竞争中占据绝对优势,而瞄准新流量市场、期待用投资换回用户规模的淘特、社区团购却在烧钱的道路上越走越远。

推荐阅读


上一篇:浙江省消保委|薇娅被封后,李佳琦热搜不断!

下一篇:网络安全|“网瘾”少年破解胰岛素泵致命漏洞!事关上亿糖尿病患者生命安全