阿里巴巴|“计算机史上最大漏洞”砸中了阿里云

阿里巴巴|“计算机史上最大漏洞”砸中了阿里云


出品|虎嗅科技组
作者|张雪
封面|CFP
12月22日下午 , 据中国日报报道 , 工信部相关人士向其记者确认 , 因发现严重漏洞未及时报告 , 阿里云计算有限公司(阿里云)被暂停工信部网络安全威胁信息共享平台合作单位6个月 。
对于“暂停”原因 , 工信部也做了相关通报:
阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后 , 未及时向电信主管部门报告 , 未有效支撑工信部开展网络安全威胁和漏洞管理 。
通报指出 , 阿里云是工信部网络安全威胁信息共享平台合作单位 。 经研究 , 工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月 。 暂停期满后 , 根据阿里云整改情况 , 研究恢复其上述合作单位 。
此外 , 有微博网友指出里面在这个漏洞发现和处理的过程中 , 阿里云有多重身份 , 它同时涉及了《网络产品安全漏洞管理规定》里的:网络运营者 , 从事漏洞发现、收集、披露等活动的组织或个人 , 网络产品安全漏洞收集平台 。
在从事漏洞发现、收集、披露等活动的组织或个人身份下 , 阿里云首先发现了漏洞 , 是漏洞发现的组织 。 这个身份的义务是按规定规范流程来公开漏洞 , 且不能报送给除产品提供者 (这里是 Apache)的境外组织 , 阿里云遵守了作为漏洞发现组织的流程和义务 。
作为网络运营者 , 阿里云提供的网络服务可能使用了Log4j2 , 从而出现安全漏洞 。 阿里云这个身份的义务是立即采取措施 , 及时对安全漏洞进行验证并完成修补 。 理论上讲 , 阿里云也较好地完成了这个身份的义务 。
而根据《网络安全法》 , 网络服务方发现其网络产品、服务存在安全缺陷漏洞应当按照规定及时向有关主管部门报告 。 对于这条 , 阿里云可能有违规行为 。
同时 , 由于阿里云又是网络产品安全漏洞收集平台 , 也是工信部网络安全威胁信息共享平台合作单位 。 在该身份下 , 阿里云“未有效支撑工信部开展网络安全威胁和漏洞管理” , 而这一点则是阿里云这次被处罚的关键 。
据公开资料 , 阿里云11月24日就发现了上述漏洞 , 而这个漏洞被认为可能是“计算机历史上最大的漏洞” , 随后其率先向阿帕奇软件基金会(即软件的运维方)披露了该漏洞 , 但并末及时向工信部通报相关信息 。
随后 , 奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警 , 而中国工信部是在收到网络安全专业机构报告后 , 才发现阿帕奇Log4j2组件存在严重安全漏洞 。
其实 , 在22日一早 , 阿里云就曾登上热搜 , 讨论度也是居高不下 。 而在这场讨论中 , 大致可以分为两个阵营 , 其一 , 有部分人认为 , 从技术的角度出发 , 阿里云做法不能算错 。 其二 , 另一部分人认为 , 阿里云未能履行合作要求 , 处罚过轻 。
对于这两种观点 , 我们不做任何评价 , 本文只是探讨该漏洞到底是什么 , 为何危害如此严重 。
据悉 , Log4j是被广泛应用在服务器上的软件 , Log4j2组件漏洞影响了许多云服务 , 涉及到政务部门和大多数企业 。 相关研究表明 , 93%的云环境都存在漏洞风险 , 尽管现在有45%的易受攻击的云资源已被修补 。
据一位程序员朋友称 , 从12月10日以来 , 他们整个公司都在改Log4j2组件的Bug , 他后来又补了一句称 , 应该是所有公司都在改这个Bug 。 原因在于 , Log4j这个库太基础 , 应用太广 , 所以影响了很多公司 。