阿里巴巴|“计算机史上最大漏洞”砸中了阿里云阿里云|软件|网络安全|云计算

出品｜虎嗅科技组
作者｜张雪
封面｜CFP
12月22日下午，据中国日报报道，工信部相关人士向其记者确认，因发现严重漏洞未及时报告，阿里云计算有限公司（阿里云）被暂停工信部网络安全威胁信息共享平台合作单位6个月。
对于“暂停”原因，工信部也做了相关通报：
阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。
此外，有微博网友指出里面在这个漏洞发现和处理的过程中，阿里云有多重身份，它同时涉及了《网络产品安全漏洞管理规定》里的：网络运营者，从事漏洞发现、收集、披露等活动的组织或个人，网络产品安全漏洞收集平台。
在从事漏洞发现、收集、披露等活动的组织或个人身份下，阿里云首先发现了漏洞，是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞，且不能报送给除产品提供者（这里是 Apache）的境外组织，阿里云遵守了作为漏洞发现组织的流程和义务。
作为网络运营者，阿里云提供的网络服务可能使用了Log4j2 ，从而出现安全漏洞。阿里云这个身份的义务是立即采取措施，及时对安全漏洞进行验证并完成修补。理论上讲，阿里云也较好地完成了这个身份的义务。
而根据《网络安全法》，网络服务方发现其网络产品、服务存在安全缺陷漏洞应当按照规定及时向有关主管部门报告。对于这条，阿里云可能有违规行为。
同时，由于阿里云又是网络产品安全漏洞收集平台，也是工信部网络安全威胁信息共享平台合作单位。在该身份下，阿里云“未有效支撑工信部开展网络安全威胁和漏洞管理” ，而这一点则是阿里云这次被处罚的关键。
据公开资料，阿里云11月24日就发现了上述漏洞，而这个漏洞被认为可能是“计算机历史上最大的漏洞” ，随后其率先向阿帕奇软件基金会（即软件的运维方）披露了该漏洞，但并末及时向工信部通报相关信息。
随后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。
其实，在22日一早，阿里云就曾登上热搜，讨论度也是居高不下。而在这场讨论中，大致可以分为两个阵营，其一，有部分人认为，从技术的角度出发，阿里云做法不能算错。其二，另一部分人认为，阿里云未能履行合作要求，处罚过轻。
对于这两种观点，我们不做任何评价，本文只是探讨该漏洞到底是什么，为何危害如此严重。
据悉， Log4j是被广泛应用在服务器上的软件， Log4j2组件漏洞影响了许多云服务，涉及到政务部门和大多数企业。相关研究表明， 93%的云环境都存在漏洞风险，尽管现在有45%的易受攻击的云资源已被修补。
据一位程序员朋友称，从12月10日以来，他们整个公司都在改Log4j2组件的Bug ，他后来又补了一句称，应该是所有公司都在改这个Bug 。原因在于， Log4j这个库太基础，应用太广，所以影响了很多公司。