因未及时上报 Log4j2 安全漏洞,阿里云被工信部暂停合作

局长 发布于 2021/12/22 14:58
阅读 5K+
收藏 0

根据21财经的独家消息工业和信息化部网络安全管理局通报称:

近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。

中国日报也表示工信部相关人士向他们确认了此消息。

加载中
10
y
yangqun2010

阿里云发现漏洞后,首先向阿帕奇基金会(开发者,境外)报告了漏洞,2周后中国工信部才收到漏洞报告,共享平台成员单位要求内2日内上报。

d
dwcz
回复 @陈钇蒙 : 呵呵,没发现的可以“别强求”,发现的却因不懂“规矩”受罚。
陈钇蒙
陈钇蒙
回复 @dwcz : Apache那么多用户都没发现这个几十年的bug, 你别强求国内的公司了
hanrui0908
hanrui0908
回复 @dwcz : :+1:
d
dwcz
回复 @西红柿幽幽子 : 这是说明还是依赖国外传出的消息咯。既然不是大家心目中的权威,就不要装圣人了。
d
dwcz
回复 @陈钇蒙 :没发现,多好的理由啊。这是说明阿里的技术力量是第一了?
下一页
5
寻梦2012
寻梦2012

有没有谁记得19年的fastjson 漏洞。某公司也是知道的。没有对外公布。自己偷偷修了。别的公司被攻击才发现这个漏洞。

吾乃程序员
吾乃程序员
还有 Ant Design圣诞彩蛋给人气死:joy:
3
zhaoyun830
zhaoyun830

是不是上报的是客服电话没人接通,网站数据无法提交

o
osc_59692539
搞笑昵,合作单位直接电话打到领导办公室都没问题
苟子你先坐下
苟子你先坐下
这就是作为下属的工作态度吗?没人接电话、网站无法提交就不报了?不知道来办公室吗?
却又让幽兰枯萎
却又让幽兰枯萎
有这个可能性
一剑倾城
一剑倾城
:thumbsup:
2
simbot
simbot

未按规定上报惩罚的不怨。。但上升到卖国的层次就大可不必了

1
z
zhejiushiwodeshouji

有点好笑,不合作对工信部没有影响吗?这个惩罚是对阿里的惩罚还是对工信部的惩罚?如果工信部没有对阿里的需求,又何必要跟阿里合作?这个事件是阿里违反了合作约定,就应该用罚款等方式处罚阿里,而不应该用这种中止合作的两败俱伤的方式,看着更像是作秀。

西红柿幽幽子
西红柿幽幽子
回复 @魔力猫 : 和一个世界级漏洞的发现者相比,工信部合作伙伴p都不是
d
dwcz
本就是作秀。欲加之罪,何患无词。阿里聪明的话,赶快献了公司,跑路吧。
魔力猫
魔力猫
作秀?有些时候,罚款再严重,性质也没啥。阿里缺钱?停止合作,6个月以后能不能合作要再评估。这不是小惩罚,而是开除了。你不在这个平台,就不是自己人。不是自己人,凭啥国有政企业务给你?!这方面拿不下来,那小企业也要考虑,是不是在你家上架了。
0
BarretRen
BarretRen

好了,这下阿里不得骂死那位开源作者?

0
kk99999999
kk99999999

此次损害国家利益的违规行为想必工信部已记录在案了, 假如阿里此后在犯类似的不当行为必定会加重处罚的   再大的公司 其根本还在中国境内 翻不起多大的浪花  退一步说就算 阿里今后不在与工信部合作了  中国也有大把的互联网公司等在后面接盘 

西红柿幽幽子
西红柿幽幽子
回复 @艾皮狗 : 可能只是你自己这样认为。尤其是作为外行,更容易这样认为。最起码有两点需要认识一到: 1. 工信部是国家行政机关,是信息行业的实际监管者,但是一没能力二动机不纯,阿里是众多被监管单位中唯二够格的,没有接替者,和第二名差距至少5年。 2. 另外,工信部里上班的可不都是酒囊饭袋,但是能说话能做决策的全是
艾皮狗
艾皮狗
回复 @西红柿幽幽子 : 可能只是你自己这样认为。尤其是作为技术宅,更容易这样认为。最起码有两点需要认识一到: 1. 工信部是国家行政机关,是信息行业的实际监管者。阿里只是众多被监管单位中的一个。没了阿里,还有京东,还有苏宁,还有唯品会,还有...., 不要太多好吧。倒了阿里,只会冒出更多接替者。 2. 另外,工信部里上班的可不都是酒囊饭袋,相反,里边藏龙卧虎,只是他们很低调。
西红柿幽幽子
西红柿幽幽子
接不上,目前为止阿里还是爸爸般的存在
0
发财火车
发财火车

这个做法一点都不妥,国内互联网公司,核心就几家,对阿里批评教育就行了,跟人家终止信息共享,有啥好处,考自己去发现漏洞吗,那是真厉害

o
osc_59692539
回复 @治治熊虚伪 : 就没上报,国外传出消息才知道的!这么大一企业对国家安全一无所知,真丢人
治治熊虚伪
人家不是说了吗。你阿里上报apache基金会没问题。你得给工信部也报一下啊。你等了几周才上报还有理了?
d
dwcz
别人是先奴才后人才,人多力量大--何必替他人操心。
魔力猫
魔力猫
好处?以后所有国家采购,阿里都洗洗睡吧。
0
昵称未定义
昵称未定义

没有及时上报,导致漏洞的修复延迟了两周吗?

那这真的是罪大恶极了!

F
Francesca
上报给apache,马上就推出补丁修复了,自己没更新怪谁
西红柿幽幽子
西红柿幽幽子
有没有发现,当你知道漏洞的时候,解决方案和补丁都到齐了
0
F
Francesca

所以我们国家搞不出什么技术,阿里第一时间公开0DAY漏洞是标准做法,无奈这帮人不懂,不仅批评还暂停合作,笑死我了,外国公开的漏洞你工信部就能搞定了?只知道欺负自己人

F
Francesca
回复 @osc_59692539 : 我觉得你可以跟着他们一起吃,合作单位怎么了?报备能解决问题?第一时间汇报软件官方0Day修复漏洞才是正确的
o
osc_59692539
回复 @Francesca : 有时间了解下啥叫工信部网络安全威胁信息共享平台合作单位。还有别人吃shi,你要不要跟着?
F
Francesca
回复 @赵易安 : 报告该软件官方叫国外?如果这个软件是中国的呢?喷子GD
F
Francesca
回复 @osc_59692539 : 你看看哪个公司哪个国家发现漏洞是先向上报备的,一般都是通知给官方请求修复漏洞,就你这智商还来说别人,感情就你懂是吧?
o
osc_59692539
并没有要求不准公开,只是要求先向上报备,对国家重要数据做好防护,真的服了这脑子还有脸说,抓紧时间补补脑子吧!
下一页
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部