工信部暫停與阿里云合作，阿里云發(fā)現(xiàn)嚴(yán)重漏洞未報告

據(jù)相關(guān)報道，近期，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對該事件做過詳細(xì)報道，11月24日，阿里云發(fā)現(xiàn)這個可能是“計算機(jī)歷史上最大的漏洞”后，率先向阿帕奇軟件基金會披露了這一漏洞，但并未及時向中國工信部通報相關(guān)信息。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

2021年7月12日，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)通知，公布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，自2021年9月1日起施行。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第六條是，鼓勵相關(guān)組織和個人向網(wǎng)絡(luò)產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞。因此，是鼓勵阿里率先向阿帕奇軟件基金會披露這一漏洞的。

但是，規(guī)定還指出，應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。網(wǎng)傳阿里云并沒有在2日之內(nèi)將其上報給中國工信部，而Apache過了17天才對外公布該漏洞信息，且工信部是看到新西蘭政府的通知才知道的有這個漏洞的。