【文/观察者网 吕栋】
12月22日,阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发舆论广泛关注。
这事缘起于一个月前。当时,阿里云团队的一名成员发现阿帕奇(Apache)Log4j2组件严重安全漏洞后,随即向位于美国的阿帕奇软件基金会通报,但并没有按照规定向中国工信部通报。事发半个月后,中国工信部收到网络安全专业机构的报告,才发现阿帕奇组件存在严重安全漏洞。
阿帕奇组件存在的到底是什么漏洞?阿里云没有及时通报会造成什么后果?国内企业在发现网络安全漏洞后应该走什么程序通报?观察者网带着这些问题采访了一些业内人士。
漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成相关机构处于被动地位。
关于Log4j组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。可以看出,如果没有Log4j组件的支撑,所有现代数字基础设施都面临倒塌的危险。
国外社交媒体用户以表情包的形式,说明Log4j的重要性
观察者网梳理此次阿帕奇严重安全漏洞的时间线如下:
11月24日,阿里云在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
12月9日,中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。
12月9日,阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。
12月10日,中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。
12月10日,阿里云在官网公告披露,安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月14日,中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月22日,工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。
