-
发现严重漏洞未及时报告,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月
-
吕栋lvdong@guancha.cn
最后更新: 2021-12-22 21:29:2612月22日,据21世纪经济报道消息,近期,工信部网络安全管理局通报称,阿里云计算有限公司(下称:阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云团队成员发现这个可能是“计算机历史上最大的漏洞”后,率先向美国的阿帕奇软件基金会披露了该漏洞,但并未及时向中国工信部通报相关信息。
随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息,而工信部12月9日发现上述漏洞,距阿里云首次发现已经过去15天。
工信部官网截图
观察者网注意到,工信部网络安全管理局12月17日曾发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。
其中提到,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。
随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
工信部网络安全管理局指出,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
今年9月1日,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。
平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
观察者网查询发现,《网络产品安全漏洞管理规定》第七条指出:
网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
本文系观察者网独家稿件,未经授权,不得转载。
- 责任编辑: 吕栋 
-
中铝集团、中国五矿等进行相关稀土资产战略性重组
2021-12-22 19:50 国企备忘录 -
特斯拉业绩第一女员工控诉:抱怨工作强度大后,我被PUA离职
2021-12-22 18:14 观网财经-汽车 -
个人如何享受碳普惠?深圳“造”个了低碳星球
2021-12-22 17:12 观网财经-科创 -
阿里云未及时通报重大漏洞,会带来什么后果?
2021-12-22 17:04 观网财经-科创 -
市场监管总局附加限制性条件批准SK海力士收购英特尔部分业务案
2021-12-22 16:28 大公司 -
奢侈品商场全国激进扩张,富人太多还是地产商太自信?
2021-12-22 15:23 观网财经-消费 -
员工晚上9点在家敷面膜,耽误加班被罚?当事公司回应
2021-12-22 14:07 观网财经-金融 -
多省市发布通告:艺人主播年底前纠正涉税问题
2021-12-22 11:56 观察者头条 -
房企大涨后群发异动公告,华夏幸福未能如期偿还1078亿元
2021-12-22 10:20 观网财经-房产 -
智利左翼总统当选,中国新能源汽车行业高度紧张
2021-12-22 10:14 观网财经-海外 -
央行:“陈耀明私印2万亿同号钞”为谣言,已报警
2021-12-22 09:44 网络谣言 -
2020年度审计整改报告:金融机构整改1.32万亿,占总金额近8成
2021-12-22 09:16 观网财经-宏观 -
腾讯要求抖音为《斗罗大陆》赔偿8亿
2021-12-21 20:13 -
腾讯要求抖音为《斗罗大陆》赔偿8亿,半年诉抖音索赔总额近30亿元
2021-12-21 18:39 观网财经-互联网 -
英特尔称:禁用新疆产品
2021-12-21 17:31 观网财经-海外 -
李佳琦声音商标“OH MY GOD,买它买它!”申请再次被驳回
2021-12-21 17:11 -
市场监管总局:加强反垄断和反不正当竞争等方面立法
2021-12-21 16:54 -
意大利当选《经济学人》年度国家:经济恢复迅速
2021-12-21 16:25 观网财经-海外 -
黑龙江要求全力冲刺房地产业增长,地产板块掀涨停潮
2021-12-21 15:36 观网财经-房产 -
税务部门人士:还有部分头部主播没有披露,“数额惊人”
2021-12-21 14:05
相关推荐 -
-
美方对俄隐瞒了部分信息?克宫回应 评论 23国防部表态:中方不会在南海问题上任菲胡来 评论 161关于ASML出口管制,荷兰首相在华表态 评论 463警惕!“隐秘”的调查暗藏国家安全风险 评论 127最新闻 Hot
-
银河系中心超大质量黑洞,又一张偏振图像来了
-
竟还有这样给他们洗白的:“善良有爱心”、“胆小不敢杀鸡”…
-
“港独分子”作证:他勾结外国反华政客!
-
这个数据,孟买首次超越北京
-
浙大社会学系第3次更新:赵鼎新再度“荣休”
-
美国务院一官员辞职:自焚军人最后的留言让我难以忘怀
-
日本资助的项目被搁置,斯里兰卡:中国承诺帮我们
-
关于ASML出口管制,荷兰首相在华表态
-
耶伦:我要当面“警告”中国,你们东西太便宜,搞得美国企业破产
-
警惕!“隐秘”的调查暗藏国家安全风险
-
普京反问:我们跨越大洋跑到美国边境了吗?
-
“美国暴露了”
-
“为何总觉得你们的生活方式比我们好?甚至连提问方式都…”
-
中企被迫退出竞标,“欧盟借这招威慑外企”
-
他威胁“不停火就断交”,以色列怒了
-
美媒“拆台”:哪有火车?你咋坐的?
-