据相关报道,近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发通知,公布《网络产品安全漏洞管理规定》,自2021年9月1日起施行。
《网络产品安全漏洞管理规定》第六条是,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。因此,是鼓励阿里率先向阿帕奇软件基金会披露这一漏洞的。
但是,规定还指出,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。网传阿里云并没有在2日之内将其上报给中国工信部,而Apache过了17天才对外公布该漏洞信息,且工信部是看到新西兰政府的通知才知道的有这个漏洞的。
