阿里雲未「依法」先通報Log4j漏洞給中國政府 遭政府暫停合作半年重罰

上周中國工信部對阿里雲未及時通報Apache Log4j重大漏洞做出懲處,將實施暫停與阿里雲合作6個月的處份。

上周中國工信部對阿里雲未及時通報Apache Log4j重大漏洞做出懲處,將實施暫停與阿里雲合作6個月的處份。

令全球網管人員疲於應付的Apache Log4j漏洞,是由阿里雲安全實驗室發現,並通報該軟體開發者Apache軟體基金會,後者於12月10日發佈安全公告及更新版Log4j 2.15版。又稱Log4Shell的漏洞 可能攻擊者發動惡意log訊息而在Web服務上遠端執行程式碼,甚至接管系統,被視為近十年來最嚴重漏洞,從微軟、Google、AWS、IBM、到美國國安局都受這個漏洞影響。

媒體報導,中國工業及信息產業部(工信部)認為阿里雲作為網路安全威脅和漏洞信息共享平台的成員,卻未能在第一時間將漏洞通報電信主管機關,未有效支持工信部推動網路安全威脅及漏洞管理的政策。工信部決定暫停和阿里雲參與該信息共享平臺合作6個月。期滿之後根據阿里雲整改情況再研究是否恢復合作。

中國政府今年9月實施的《網路產品安全漏洞管理規定》,要求所有網路產品供應商在發現漏洞後,必須在2天內通報工信部,且不得分享給中國境外除供應商以外的組織及個人。但媒體指出,中國政府「鼓勵」廠商通報別家公司軟體漏洞。外界認為,這等於讓中國政府早一步得知漏洞訊息,且在修補程式釋出以前對目標對象發動零時差攻擊。

一般相信,失去中國政府支持可能對阿里雲營運產生不利影響,若被停止合作實際損失不得而知。阿里雲也是中國推動「互聯網+先進製造業」的跨行業跨領域工業互聯網平台的合作廠商。

阿里雲本周四(12/23)指出,其團隊一位成員在發現Log4j之後,依據「產業通則」通知Apache軟體基金會及求助,由於他們一開始不知道安全漏洞的嚴重性,因此未能及時分享資訊給政府。阿里雲指出,他們會進一步改善危機管理及法規遵循。

阿里巴巴因禁止其電商平台上的店家在其他平台上開店或促銷的「二選一」規定,有壟斷之嫌,4月遭中國市場監督管理總局裁罰183億人民幣(約台幣800億元),阿里巴巴隨後向中國政府表示感激。

來源:南華早報

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416