未獲即時通知Log4j漏洞，中國工信部暫停與阿里巴巴合作

圖片來源:

阿里雲

12/29資訊更新 Log4j再傳RCE漏洞，Apache釋出2.17.1新版

中國媒體報導，阿里巴巴旗下安全實驗室發現Log4j漏洞，先告知了Apache軟體基金會卻未第一時間通報中國主管機關，遭中國工信部祭出暫停與阿里雲合作6個月的處分。

11月間，阿里巴巴安全研究室通報Apache Log4j 2.14.0以前版本，存在遠端程式碼執行（RCE）漏洞。該軟體擁有單位Apache軟體基金會於12月10日發布安全公告以及2.15.0版本，以修補編號CVE-2021-44228的漏洞。

中國工信部安全管理局於上周五發布公告，工信部的網路安全威脅和漏洞信息共享平臺於12月9日收到網路安全專業機構報告，得知此一消息，於是召集阿里雲、資安廠商及資安專業機構研究，並稱其通報督促Apache基金會修補漏洞及發出風險預警。

根據公告，該漏洞可能導致設備遠程受控，進而引發敏感資訊竊取、設備服務中斷等嚴重危害，屬高危險漏洞。工信部網路安全管理局也持續展開漏洞處置，防範網路安全漏洞風險。

雖然中國政府已經較官方安全公告發布時間更早得知訊息，但顯然並不滿意。中國媒體報導，工信部認為，阿里雲作為工信部網路安全威脅訊息共享平臺的合作單位，在發現漏洞後卻未能及時向電信主管部門報告，未有效支持工信部推動網路安全威脅及漏洞管理的政策。工信部決定暫停和阿里雲參與該訊息共享平臺的合作6個月。之後根據阿里雲整改情況再研究是否恢復合作。不過，中國政府這樣大張旗鼓地對雲端服務業者提出先行向他們通報漏洞的要求，顯然有違IT領域長期以來的資安通報方式，也讓外界擔憂可能會嚴重影響整體資安威脅情報的交流透明度，甚至使得這些資訊出現遭到政府壟斷、成為國家掌控下的網路軍火。

中國今年9月1日上路的《網路產品安全漏洞管理規定》要求，網路產品供應商在發現漏洞後，必須在2天內向工信部網路安全威脅和漏洞信息共享平臺通報，且不得向供應商以外的境外組織及個人提供未公開的漏洞訊息。有些人擔心新法可讓中國政府提早得知消費或企業軟體的零時差漏洞，而得以發動攻擊。

雖然確切損失尚難確定，但失去官方信任將可能影響阿里雲的業務前景。該消息發布時值美股早盤時段，阿里巴巴ADR大跌4%。

而這也是阿里巴巴近來最新一起遭中國政府監管的例子。今年4月阿里巴巴集團在中國境內網路零售平臺市場、禁止平臺上的店家在其他平臺上開店或促銷，被中國市場監督管理總局裁罰183億人民幣。

熱門新聞