資料照:深圳舉辦的阿里巴巴雙十一購物節的阿里雲服務展台。(2016年11月11日)
中國網絡安全監管部門星期三(12月22日)暫停阿里雲公司作為工信部網絡安全威脅信息共享平台合作單位的資格6個月。此前,阿里雲在發現一款基於Java語言的開源日誌框架組件嚴重安全漏洞隱患後,未及時按程序向工信部報告。
今年11月24日,阿里雲安全團隊發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟體基金會。但是,作為工信部網絡安全威脅信息共享平台合作單位的阿里雲,沒有及時將這個安全漏洞報告給工信部網安局。
直到12月9日,工業和資訊化部網絡安全威脅和漏洞信息共享平台才收到有關網絡安全專業機構的報告,稱阿帕奇Log4j2組件存在嚴重安全漏洞。
中國媒體報導說,工信部稱,阿里雲發現網絡安全漏洞卻不及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理,因此暫停阿里雲作為工信部網絡安全威脅信息共享平台合作單位的資格半年,並在暫停期滿後,根據阿里雲公司整改情況,再研究是否恢復其合作單位的資格。
Apache Log4j2遠程代碼執行漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。
工信部12月17日發布了關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。
路透社稱,工信部對阿里雲的處罰凸顯出中共當局以國家安全為由,加強對關鍵網絡基礎設施控制的努力。中共當局還要求國企在明年把他們的數據儲存從阿里雲和騰訊雲等私營公司,遷移到國家支持的雲系統。