阿里雲未「依法」先通報 Log4j 漏洞給中國政府 遭政府暫停合作半年重罰

上周中國工信部對阿里雲未及時通報 Apache Log4j 重大漏洞做出懲處，將實施暫停與阿里雲合作 6 個月的處份。

令全球網管人員疲於應付的 Apache Log4j 漏洞，是由阿里雲安全實驗室發現，並通報該軟體開發者 Apache 軟體基金會，後者於 12 月 10 日發佈安全公告及更新版 Log4j 2.15 版。又稱 Log4Shell 的漏洞　可能攻擊者發動惡意 log 訊息而在 Web 服務上遠端執行程式碼，甚至接管系統，被視為近十年來最嚴重漏洞，從微軟、Google、AWS、IBM、到美國國安局都受這個漏洞影響。

媒體報導，中國工業及信息產業部（工信部）認為阿里雲作為網路安全威脅和漏洞信息共享平台的成員，卻未能在第一時間將漏洞通報電信主管機關，未有效支持工信部推動網路安全威脅及漏洞管理的政策。工信部決定暫停和阿里雲參與該信息共享平臺合作 6 個月。期滿之後根據阿里雲整改情況再研究是否恢復合作。

中國政府今年 9 月實施的《網路產品安全漏洞管理規定》，要求所有網路產品供應商在發現漏洞後，必須在 2 天內通報工信部，且不得分享給中國境外除供應商以外的組織及個人。但媒體指出，中國政府「鼓勵」廠商通報別家公司軟體漏洞。外界認為，這等於讓中國政府早一步得知漏洞訊息，且在修補程式釋出以前對目標對象發動零時差攻擊。

一般相信，失去中國政府支持可能對阿里雲營運產生不利影響，若被停止合作實際損失不得而知。阿里雲也是中國推動「互聯網＋先進製造業」的跨行業跨領域工業互聯網平台的合作廠商。

阿里雲本周四（12/23）指出，其團隊一位成員在發現 Log4j 之後，依據「產業通則」通知 Apache 軟體基金會及求助，由於他們一開始不知道安全漏洞的嚴重性，因此未能及時分享資訊給政府。阿里雲指出，他們會進一步改善危機管理及法規遵循。

阿里巴巴因禁止其電商平台上的店家在其他平台上開店或促銷的「二選一」規定，有壟斷之嫌，4 月遭中國市場監督管理總局裁罰 183 億人民幣（約台幣 800 億元），阿里巴巴隨後向中國政府表示感激。

來源：南華早報