阿里雲未「依法」先通報 Log4j 漏洞給中國政府 遭政府暫停合作半年重罰
上周中國工信部對阿里雲未及時通報 Apache Log4j 重大漏洞做出懲處,將實施暫停與阿里雲合作 6 個月的處份。
令全球網管人員疲於應付的 Apache Log4j 漏洞,是由阿里雲安全實驗室發現,並通報該軟體開發者 Apache 軟體基金會,後者於 12 月 10 日發佈安全公告及更新版 Log4j 2.15 版。又稱 Log4Shell 的漏洞 可能攻擊者發動惡意 log 訊息而在 Web 服務上遠端執行程式碼,甚至接管系統,被視為近十年來最嚴重漏洞,從微軟、Google、AWS、IBM、到美國國安局都受這個漏洞影響。
媒體報導,中國工業及信息產業部(工信部)認為阿里雲作為網路安全威脅和漏洞信息共享平台的成員,卻未能在第一時間將漏洞通報電信主管機關,未有效支持工信部推動網路安全威脅及漏洞管理的政策。工信部決定暫停和阿里雲參與該信息共享平臺合作 6 個月。期滿之後根據阿里雲整改情況再研究是否恢復合作。
中國政府今年 9 月實施的《網路產品安全漏洞管理規定》,要求所有網路產品供應商在發現漏洞後,必須在 2 天內通報工信部,且不得分享給中國境外除供應商以外的組織及個人。但媒體指出,中國政府「鼓勵」廠商通報別家公司軟體漏洞。外界認為,這等於讓中國政府早一步得知漏洞訊息,且在修補程式釋出以前對目標對象發動零時差攻擊。
一般相信,失去中國政府支持可能對阿里雲營運產生不利影響,若被停止合作實際損失不得而知。阿里雲也是中國推動「互聯網+先進製造業」的跨行業跨領域工業互聯網平台的合作廠商。
阿里雲本周四(12/23)指出,其團隊一位成員在發現 Log4j 之後,依據「產業通則」通知 Apache 軟體基金會及求助,由於他們一開始不知道安全漏洞的嚴重性,因此未能及時分享資訊給政府。阿里雲指出,他們會進一步改善危機管理及法規遵循。
阿里巴巴因禁止其電商平台上的店家在其他平台上開店或促銷的「二選一」規定,有壟斷之嫌,4 月遭中國市場監督管理總局裁罰 183 億人民幣(約台幣 800 億元),阿里巴巴隨後向中國政府表示感激。
來源:南華早報