【关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示】阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
在阿里云log4j2事件之后,一直有水军用“行业惯例”来洗地。但通知美国阿帕奇是行业惯例?安全问题绝无可能绕过阿里云安全部!难道阿里云的安全部,不知道自己应该通知中国工信部吗?
莫拿行业惯例当阿里云的挡箭牌,安全问题都要经过公司才能涉外,阿里云作为一家庞大的公司,安全部一定知道有哪些问题通知了国外。
因此,阿里云log4j2事件必须一查到底之处:是谁阻止阿里云的安全部通知工信部?
另外一个问题,美国阿帕奇软件基金会(Apache Software Foundation,简称为ASF)只是一个基金会,不是阿里云的供应商。
美国阿帕奇也没有直接的义务立刻修复Bug,因此,有人说阿里云的工程师先通知美国阿帕奇,是为了快速修复,这完全是无稽之谈。谁都知道,美国阿帕奇不可能很快修复,阿里云的安全部门,必然第一时间知道此事。
当阿里云的安全部知道log4j2漏洞之后,作为工信部的合作单位,为何在长达十几天的时间里面,不通知工信部呢?这才是关键的问题。
当阿里云已经采取措施之后,已经通知了美国阿帕奇,却对国家隐瞒。这应该不可能是忘了,而是被某些势力压住了此事。
洗白者说阿里云告诉美国阿帕奇是行业惯例,发现的工程师并不认为这个漏洞很重要!
下面比喻说得很好: 你是个送外卖的,在送完外卖后发现送给客户的外卖有毒,于是第一时间告诉了饭店,你认为饭是饭店做的饭店有责任知道,而且你自己认为这个毒不一定毒死人,所以并没有第二时间告诉客户,直到另外的客户吃饭时发现外卖里有毒让大家不要吃了,你的客户才知道饭里有毒……请问,如此做事,又是什么行为?
阿里云如此不合逻辑的行为,阿里云的CEO何时出来走几步?中国人民,拭目以待!