数智资源网
首页 首页 物联网 智能家居 查看内容

阿里云未及时上报安全漏洞,被工信部暂停合作六个月

木马童年 2021-12-23 13:00 52 0

12月22日消息,工业和信息化部网络安全管理局通报称,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里 ...

12月22日消息,工业和信息化部网络安全管理局通报称,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位 6 个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

阿里云未及时上报安全漏洞,被工信部暂停合作六个月

(源自阿里云)

据悉,工业和信息化部网络安全威胁和漏洞信息共享平台于2021年9月1日正式上线运行,官网显示,工信部网络安全威胁信息共享平台合作单位共有33家,包括中国电信、中国移动、中国联通、阿里云、腾讯、奇安信、京东、360、百度等。

阿里云未及时上报安全漏洞,被工信部暂停合作六个月

(源自工信部官网)

该平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。

工业和信息化部网络安全管理局通报表示,作为工信部网络安全威胁信息共享平台合作单位,阿里云发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

在此之前的 19 日,工信部发布公告通报了阿里云计算有限公司发现了 Java 日志库的阿帕奇 Apache Log4j2 组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。

据了解,Apache?Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具,90% 以上的 Java 开发平台都会直接或间接地使用这款工具。而阿帕奇 Log4j2 组件中的一个重大安全漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞,正因如此,此次漏洞危险波及范围极广,覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。

业界将其称之为堪比 2017 年 " 永恒之蓝 " 的史诗级安全漏洞。2017 年 4 月,黑客团体 Shadow Brokers 公布了一大批网络攻击工具,其中最为突出的便是 " 永恒之蓝 " 工具。

这款工具利用 Windows 系统的 SMB 漏洞,可以获取系统的最高权限。不法分子通过 " 永恒之蓝 " 工具制作了 wannacry 勒索病毒,攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统,并向被攻击者勒索高额赎金才予以解密恢复文件。

也有消息报道称,由于 Apache?Log4j2 在各大交易所、钱包、DeFi 项目中广泛使用,攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益,

根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

综合多个报道信息可以发现,对于如此高危害级别的安全漏洞,阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会,但在网络安全威胁信息共享平台的上报流程上出现了问题。

今年11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。两家企业表示将认真落实监管要求,进一步加强网站接入、域名注册、信息服务等管理,切实防范化解电信网络诈骗风险。

信息化 网络安全 阿里云 安全威胁 信息共享 中国电信
0
为您推荐
纯正商业级应用-微信小程序开发实战教程(附源码)

纯正商业级应用-微信小程序开发实战教程(

纯正商业级应用-微信小程序开发实战(附源码)——更多资源,课程更新在 多智时代 duoz…...

SpringCloud Finchley三版本微服务实战,网盘视频教程下载

SpringCloud Finchley三版本微服务实战,网

课程介绍:微服务架构已是当下最热门的话题,许多公司都在从传统架构系统向微服务转化…...

F5官方工程培训视频教程 9小时F5内部培训视频教程 F5负载均衡视频教程

F5官方工程培训视频教程 9小时F5内部培训视

F5官方工程培训视频教程 9小时F5内部培训视频教程 F5负载均衡视频教程非常珍贵的F5产…...

谷粒商城–微服务分布式电商项目 (分布式基础篇),资源教程下载

谷粒商城–微服务分布式电商项目 (分布式

课程名称谷粒商城–微服务分布式电商项目 (分布式基础篇),资源教程下载课程介绍项…...

FFmpeg音视频高级开发实战,资源教程下载

FFmpeg音视频高级开发实战,资源教程下载

课程名称FFmpeg音视频高级开发实战,资源教程下载课程目录01. ffmpeg介绍02. 编译ffmp…...

selenium3+python3+unittest自动化测试,自动化测试视频教程下载

selenium3+python3+unittest自动化测试,自

课程介绍:自动化测试视频教程 selenium3+python3+unittest自动化测试,2018年10月Sele…...

数智资源网