您現在的位置:首頁 > 經濟 > 正文

阿里云因未及時報告高危漏洞 被暫停工信部網絡安全合作單位6個月

時間:2021-12-30 16:35:42    來源:搜狐科技    

近日,阿里云公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿里云公司作為工信部網絡安全威脅信息共享平臺合作單位6個月。暫停期滿后,根據阿里云公司整改情況,研究恢復其上述合作單位。

對此,搜狐科技向阿里云方面詢問漏洞細節,截至發稿前,暫未收到回復。

據了解,Apache Log4j2的漏洞由阿里云團隊發現。11月24日,阿里云安全團隊曾向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷,未經授權的攻擊者利用該漏洞,可向目標服務器發送精心構造的惡意數據,觸發Log4j2組件解析缺陷,實現目標服務器的任意代碼執行,獲得目標服務器權限。

不過,直到12月9日,工信部網絡安全威脅和漏洞信息共享平臺才收到有關網絡安全專業機構報告,組織應對策略并對外公布風險。12月17日,工信部通報稱,該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬于高危漏洞。目前,Apache官方已發布補丁。

據了解,自該漏洞公開以來,很多網站如百度等都是此次執行漏洞的受害者,很多互聯網企業也都連夜做了應急措施。

除本次暫停合作外,今年11月,工業和信息化部網絡安全管理局、公安部刑事偵查局也曾聯合約談阿里云、百度云兩家企業相關負責人,通報了近期兩家企業在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題。

標簽: 阿里云 高危漏洞 工信部 網絡安全 合作單位

最近更新

凡本網注明“XXX(非現代青年網)提供”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和其真實性負責。

特別關注