近日�,阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后���,未及時向電信主管部門報告���,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究�,現(xiàn)暫停阿里云公司作為工信部網絡安全威脅信息共享平臺合作單位6個月�。暫停期滿后,根據(jù)阿里云公司整改情況��,研究恢復其上述合作單位����。
對此,搜狐科技向阿里云方面詢問漏洞細節(jié)��,截至發(fā)稿前����,暫未收到回復。
據(jù)了解����,Apache Log4j2的漏洞由阿里云團隊發(fā)現(xiàn)。11月24日�,阿里云安全團隊曾向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞���。由于Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷���,未經授權的攻擊者利用該漏洞�,可向目標服務器發(fā)送精心構造的惡意數(shù)據(jù),觸發(fā)Log4j2組件解析缺陷��,實現(xiàn)目標服務器的任意代碼執(zhí)行��,獲得目標服務器權限��。
不過���,直到12月9日,工信部網絡安全威脅和漏洞信息共享平臺才收到有關網絡安全專業(yè)機構報告����,組織應對策略并對外公布風險����。12月17日,工信部通報稱����,該漏洞可能導致設備遠程受控����,進而引發(fā)敏感信息竊取、設備服務中斷等嚴重危害,屬于高危漏洞�。目前,Apache官方已發(fā)布補丁�����。
據(jù)了解����,自該漏洞公開以來,很多網站如百度等都是此次執(zhí)行漏洞的受害者����,很多互聯(lián)網企業(yè)也都連夜做了應急措施。
除本次暫停合作外��,今年11月�����,工業(yè)和信息化部網絡安全管理局��、公安部刑事偵查局也曾聯(lián)合約談阿里云�、百度云兩家企業(yè)相關負責人���,通報了近期兩家企業(yè)在防范治理電信網絡詐騙工作中存在的接入涉詐網站數(shù)量居高不下等問題���。
標簽:
阿里云
高危漏洞
工信部
網絡安全
合作單位
