阿里云服务器远程不了【关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示】阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架


“阿里巴巴为什么不第一时间向主管部门通报阿里云开源软件大漏洞

“阿里巴巴为什么不第一时间向主管部门通报阿里云开源软件大漏洞?”



1,时间线:
11月24日,阿里云在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。

12月9日,中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。

12月9日,阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。

12月22日,工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。


2,举个不恰当的例子,就相当于某个国家发现了极具传染性的病毒,不首先上报政府,反而首先通报给了世卫组织(世卫组织再通报给全世界)。


3,阿里巴巴发现的这个漏洞,应该说是开源软件,有史以来发现的最大的漏洞,如果不及时通报,就相当于一场病毒一样席卷全球,后果不堪设想。如图一所示,整个相关网络架构将会崩溃。令人欣慰的是,阿里巴巴第一时间通报给了开源软件组织方,使得全球所有使使用这个开源软件的人免于损失。此举之后,阿里巴巴必将会得到全球所有软件人的敬佩。


4,不过阿里巴巴为什么不同时也通报给国家工信部呢?这不就是顺手的事儿。不理解!

阿里云因“安全漏洞事件”

阿里云因“安全漏洞事件”,被工信部处罚,它冤枉吗?
2021年11月24日,阿里云安全团队发现阿帕奇远程代码执行漏洞,该组件中某些功能存在递归解析,攻击者可直接构造恶意请求,触发远程代码执行漏洞,阿里云团队第一时间向阿帕奇官方报告了这一漏洞。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇存在严重安全漏洞。从漏洞的发现到工信部的获悉,中间有漫长的十五天,作为电信主管部门的工信部才得知这一基于Java系统中的巨大漏洞。据了解,Apache Log4j2是一个基于Java的日志记录工具,是目前最优秀的Java日志框架之
一。
中国互联网公司所用的软硬件,到底有多少是被美国所垄断的呢? 我们不多赘述。那么,假设一下,美国想使坏,在更新服务软件时故意留下一个漏洞,而相关企业又没有及时发现,后果会是怎么样?真的不敢想象,大家别忘了美国的棱镜门事件,更何况现如今的互联网生态已经进入了寡头时代,一个互联网寡头掌握的我们个人资料可能比我们自己都要多,如果发生重大互联网泄露事件,几亿人甚至十几亿人的个人资料或者是一些国家商业机密就这样轻易泄露,后果不敢想象! 在如今这个互联网大数据时代,我们就像是光着身子没有任何隐私可言,真是太可怕了!
而此次阿里云“安全漏洞事件”,我们肯定阿里云团队的技术和能力。但是,发现漏洞后,不知道出于何种原因,阿里云居然没有第一时间上报工信部,而是通报给Apache官方。我想, 美国公司Apache一定很”欣慰“!
你说,阿里云被工信部处罚,冤吗?一点都不冤!

【高危漏洞:可致远程受控

【高危漏洞:可致远程受控,引发敏感信息窃取❗️ 】 工业和信息化部网络安全管理局通报称,近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。此前,阿里云计算有限公司是工信部网络安全威胁信息共享平台合作单位。

阿里云承认先向开源社区汇报了Log4j2远程代码执行安全漏洞

阿里云承认先向开源社区汇报了Log4j2远程代码执行安全漏洞,未及时告知合作平台,早期未意识到阿帕奇漏洞严重性,仅按惯例向开源社区请求帮助。这就是合规流程出了问题,没必要阴谋论。漏洞以后都是国家战略资源,这个节骨眼上,你以为阿里云会犯这种低级错误。等着6个月后恢复资格。

【关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示】阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架

【关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示】阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。