阿里雲回應未及時上報 Log4j2 重大漏洞:早期未意識到嚴重性,將提升合規意識

鳴飛發表於2021-12-30

近日,工信部發布通報,阿里雲公司發現 Apache Log4j2 元件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,暫停阿里雲公司作為上述合作單位 6 個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。

image.png

阿里雲官方今日回應稱,因在早期未意識到該漏洞的嚴重性,未及時共享漏洞資訊。阿里雲將強化漏洞管理、提升合規意識,積極協同各方做好網路安全風險防範工作。

12月23日,阿里雲通過其官方微信公眾號釋出《關於開源社群Apache Log4j2漏洞情況的說明》。

Log4j2 是開源社群阿帕奇(Apache)旗下的開源日誌元件,被全世界企業和組織廣泛應用於各種業務系統開發。

近日,阿里雲一名研發工程師發現Log4j2 元件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。Apache開源社群確認這是一個安全漏洞,並向全球釋出修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。

阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞資訊。阿里雲將強化漏洞報告管理、提升合規意識,積極協同各方做好網路安全風險防範工作。

相關閱讀:阿里雲被暫停工信部網路安全合作單位 6 個月,因未及時報告 Apache Log4j2 高危漏洞

相關文章