阿里巴巴|阿里巴巴再遭处分,因为没有向政府报告关键漏洞

阿里巴巴|阿里巴巴再遭处分,因为没有向政府报告关键漏洞

周三 , 中国互联网安全监管机构对阿里巴巴集团控股的云计算服务部门进行了处分 , 因为该部门没有首先向政府报告Apache的Log4j软件中的一个关键漏洞 。
据《21世纪经济报道》报道 , 工业和信息化部将暂停与阿里巴巴云作为网络安全威胁情报合作伙伴的工作六个月 , 因为该公司没有立即向政府机构报告广泛使用的日志软件的一个严重漏洞 。 该部还表示 , 届时将根据阿里巴巴为纠正该问题所采取的措施 , 重新评估是否恢复合作 。
失去该机构的支持可能会影响阿里巴巴云计算部门的业务前景 , 但其在云计算业务的具体损失很难确定 。
工信部在2019年12月推出了一个网络安全威胁情报共享平台 , 来应对安全威胁 。 加入该平台是政府对成员发现和管理威胁的能力的认可 。

Log4j漏洞被描述为“噩梦”和“灾难性的” , 一些专家说它是有史以来受影响设备数量最严重的网络安全威胁 。 这种简单的基于Java的软件可以在无数的互联网连接设备中找到 , 从电视和相机等物联网产品到亚马逊、谷歌和微软等科技巨头运行云业务的服务器 。
【阿里巴巴|阿里巴巴再遭处分,因为没有向政府报告关键漏洞】12月9日 , 阿里巴巴云安全团队工程师发现该漏洞后 , 该漏洞被公开披露 , 首次受到广泛关注 。 阿里巴巴的工程师在11月24日通过电子邮件通知了开发开源Log4j工具的非营利公司Apache软件基金会 。
根据今年通过的一项法规 , 中国公司有义务通过工信部的国家漏洞数据库网站向工信部报告自己的软件漏洞 。
网络安全行业规范鼓励在向公众披露问题之前 , 首先通知供应商安全缺陷 , 给他们足够的时间来解决这个问题 。 Apache于12月6日发布了Log4j漏洞的补丁 , 比公开披露的时间早三天 。
尽管如此 , 由于Log4j无处不在 , 该漏洞的发现的影响预计将是广泛的 。 许多人甚至可能没有意识到他们的系统已经被破坏 。
这个被称为Log4Shell的漏洞允许黑客通过获得软件的记录来远程执行代码 。 例如 , 这在微软游戏《Minecraft》的Java版中成为一个问题 , 允许玩家通过聊天信息发送恶意代码来破坏他人的系统 。
现在订阅边际实验室 , 与最值得信赖的商业信息保持同步 。