发现重大安全漏洞！阿里云被工信部暂停合作6个月

12月22日，阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发业内广泛关注。

阿里云发现重大安全漏洞先报美国

11月24日，阿里云在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织，总部位于美国马里兰州。

工信部通报！阿里云被暂停合作6个月

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

工信部表示，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

12月10日，阿里云在官网公告披露，安全团队发现ApacheLog4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日，国家信息安全漏洞共享平台（CNVD）发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。据悉，Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。CNVD对该漏洞的综合评级为“高危”。

12月22日，工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

12月23日，阿里云发布《关于开源社区Apache Log4j2漏洞情况的说明》。阿里云官方回应称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。