阿里云知“漏”不报？log4j漏洞事件

　　阿里云在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

　　中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

　　阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。

　　中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

　　阿里云在官网公告披露，安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

　　报道，中国阿里云安全团队在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现一个漏洞Log4Shell。

　　中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

　　工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》，其中提到，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。

　　工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

　　此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

　　由于该漏洞在全行业中乃至政府的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

　　《网络产品安全漏洞管理规定》，国内安全研究人员发现漏洞之后报送CNVD即可，CNVD会发起向CVE报送流程，协调厂商和企业修复安全漏洞，不允许直接向国外漏洞平台提交。

　　第七条（二）规定，漏洞发现者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

　　第九条（一）规定，不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

　　第九条（七）规定，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

　　阿里云峰会广东期间，阿里巴巴副总裁、阿里云智能数字政府事业部总裁许诗军表示，目前阿里云已成为中国数字政府大数据整体市场第一，也是数字政府大数据基础平台软件市场第一。

　　阿里合作了海关总署、国税总局、人社部等国家部委20多个，合作全国省市区30个，覆盖全国城市442个，包括服务内容1000+项，累计服务9亿人。

　　疫情期间，全国28个省市与阿里云合作建设数字防疫系统，健康码在200多个城市上线，数字技术极大提升了防疫效率。在阿里云的支撑下，1.8亿学生在家上课、2亿上班族在家办公，保障了社会经济正常运转。

　　阿里云IaaS基础设施能力拿下全球第一，在计算、存储、网络、安全四项核心评比中均斩获最高分，这也是中国云首次超越亚马逊、微软、谷歌等国际厂商。

　　阿里云曾因2019年未经用户同意，擅自将用户留存的注册信息泄露给第三方合作公司，被浙江省通信管理局通报。

　　因为腾讯和阿里是在美国搭建的基础架构之上的上层应用，只能在美国构建的这些底层架构中进行二次开发。