工信部暫停與阿里云合作，阿里云發(fā)現(xiàn)嚴(yán)重漏洞未報(bào)告

據(jù)相關(guān)報(bào)道，近期，工信部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報(bào)指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對(duì)該事件做過(guò)詳細(xì)報(bào)道，11月24日，阿里云發(fā)現(xiàn)這個(gè)可能是“計(jì)算機(jī)歷史上最大的漏洞”后，率先向阿帕奇軟件基金會(huì)披露了這一漏洞，但并未及時(shí)向中國(guó)工信部通報(bào)相關(guān)信息。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無(wú)需密碼就能訪問(wèn)網(wǎng)絡(luò)服務(wù)器。

2021年7月12日，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)通知，公布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，自2021年9月1日起施行。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第六條是，鼓勵(lì)相關(guān)組織和個(gè)人向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞。因此，是鼓勵(lì)阿里率先向阿帕奇軟件基金會(huì)披露這一漏洞的。

但是，規(guī)定還指出，應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。網(wǎng)傳阿里云并沒有在2日之內(nèi)將其上報(bào)給中國(guó)工信部，而Apache過(guò)了17天才對(duì)外公布該漏洞信息，且工信部是看到新西蘭政府的通知才知道的有這個(gè)漏洞的。