阿里云回应未及时上报漏洞被处罚

12月22日消息，工业和信息化部网络安全管理局通报称，阿里云公司发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位 6 个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

 

在此之前的 19 日，工信部发布公告通报了阿里云计算有限公司发现了 Java 日志库的阿帕奇 Apache Log4j2 组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

据了解，ApacheLog4j2 是阿帕奇软件基金会旗下的一款日志记录工具，90% 以上的 Java 开发平台都会直接或间接地使用这款工具。而阿帕奇 Log4j2 组件中的一个重大安全漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞，正因如此，此次漏洞危险波及范围极广，覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。

业界将其称之为堪比 2017 年 "永恒之蓝 "的史诗级安全漏洞。官网显示，工信部网络安全威胁信息共享平台合作单位共有33家，包括中国电信、中国移动、中国联通、阿里云、腾讯、奇安信、京东、360、百度等。