中国暂停与阿里巴巴的交易，原因是阿里巴巴没有与政府共享Log4j 0天优先权

中国互联网监管机构工业和信息化部（MIIT）已暂停与电子商务巨头阿里巴巴集团（Alibaba Group）云计算子公司阿里云（Alibaba Cloud）的合作，由于未能及时向政府通报影响广泛使用的Log4j日志库的一个严重安全漏洞，该公司已被停职六个月。

路透社和《南华早报》援引中国商业新闻日报《21世纪经济报道》的报道披露了这一进展。

“阿里云没有立即向中国电信监管机构报告流行的开源日志框架Apache Log4j2中的漏洞，”路透社说。“作为回应，工信部暂停了与云部门在网络安全威胁和信息共享平台方面的合作伙伴关系。”

被追踪为CVE-2021-44228（CVSS分数：10.0），代号为Log4Shell或LogJam，这一灾难性的安全缺陷允许恶意参与者通过软件记录的特制字符串远程执行任意代码。

Lang4S壳在阿里巴巴云安全团队的陈氏昭君发送电子邮件后，于11月24日提醒了Apache软件基金会（ASF）关于该漏洞的警告，并补充说它具有“重大影响”。但就在修复过程中，12月8日，一名身份不明的参与者在一个中文博客平台上分享了该漏洞的详细信息，导致Apache团队争先恐后地在12月10日发布补丁。

在该漏洞被公开披露后，由于几乎无处不在地使用该库，Log4Shell受到了威胁参与者的广泛利用，以控制易受影响的服务器，该库可以在各种消费者和企业服务、网站和应用程序中找到；以及运营技术产品—；依靠它来记录安全和性能信息。

在接下来的几天里，网络安全社区对Log4j的进一步调查发现了基于Java的工具中的另外三个弱点，促使项目维护人员发布了一系列安全更新，以遏制利用这些漏洞的真实攻击。

以色列安全公司Check Point指出，到目前为止，它已经阻止了430多万次攻击企图，其中46%的攻击是由已知的恶意组织进行的。工信部曾在12月17日发布的一份公开声明中表示：“该漏洞可能会导致设备被远程控制，这将造成严重危害，如敏感信息被盗和设备服务中断。”工信部补充说，工信部只是在12月9日首次披露15天后才得知该漏洞。

工信部的回击发生在中国政府发布新的更严格的漏洞披露规定数月后，该规定要求受严重漏洞影响的软件和网络供应商，以及从事网络产品安全漏洞发现的实体或个人，必须在两天内直接向政府当局报告。

9月，政府还启动了“网络空间安全和漏洞专业数据库”，用于报告网络、移动应用程序、工业控制系统、智能汽车、物联网设备和其他可能成为威胁行为者目标的互联网产品中的安全漏洞。

更新：据《南华早报》最新报道，在中国互联网安全监管机构将阿里巴巴云从其网络威胁情报合作伙伴关系中退出六个月后，这家云计算公司周四表示，将努力改善其风险管理和合规性。阿里云还表示，它没有完全理解缺陷的严重性，也没有及时与政府分享细节。