阿里雲回應:未意識到嚴重性

近日,阿里雲發現高危漏洞未及時報告工信部,引發熱議。
此前報道↓
12月23日,南都記者注意到,阿里雲釋出關於開源社群阿帕奇(Apache)log4j2漏洞情況的說明,承認其先向開源社群彙報安全漏洞,未及時告知工信部合作平臺。因在早期未意識到該漏洞的嚴重性,未及時共享漏洞資訊,將強化漏洞管理、提升合規意識,積極協同各方做好網路安全風險防範工作。
阿里雲表示,近日,阿里雲一名研發工程師發現Log4j2元件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。Apache開源社群確認這是一個安全漏洞,並向全球釋出修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。
據悉,Log4j2是開源社群阿帕奇(Apache)旗下的開源日誌元件,被全世界企業和組織廣泛應用於各種業務系統開發。12月17日,工信部曾釋出關於阿帕奇Log4j2元件重大安全漏洞的網路安全風險提示。
南都記者注意到,工信部稱,直到12月9日,工信部網路安全威脅和漏洞資訊共享平臺才收到有關網路安全專業機構報告,阿帕奇Log4j2元件存在嚴重安全漏洞。
隨後,工信部立即組織有關網路安全專業機構開展漏洞風險分析,召集阿里雲、網路安全企業、網路安全專業機構等開展研判,通報督促阿帕奇軟體基金會及時修補該漏洞,向行業單位進行風險預警。
工信部通報稱,該漏洞可能導致裝置遠端受控,進而引發敏感資訊竊取、裝置服務中斷等嚴重危害,屬於高危漏洞。為降低網路安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2元件漏洞補丁釋出,排查自有相關係統阿帕奇Log4j2元件使用情況,及時升級元件版本。
值得注意的是,據《網路產品安全漏洞管理規定》,網路產品提供者應當在2日內向工業和資訊化部網路安全威脅和漏洞資訊共享平臺報送相關漏洞資訊
南方都市報(nddaily)、N影片報道
南都見習記者 方詩琪
注意網路安全!

閱讀原文


相關文章