羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!_阿帕奇

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

CZ：Binance AI NFT生成器Bicasso已再次開放:3月29日消息，CZ在社交媒體上宣布，幣安AI NFT生成器Bicasso已再次開放，將依照先到先得的順序開放100000枚NFT的免費mint。[2023/3/29 13:33:35]

什么是阿帕奇Log4j2組件漏洞？

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

數據：998枚BTC從Gemini轉移到Coinbase:金色財經報道，據WhaleAlert數據顯示，998枚BTC從Gemini轉移到Coinbase。[2022/8/25 12:46:42]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

以太坊的資產管理規模在6月下降近50%:金色財經報道，根據加密貨幣分析公司CryptoCompare最近發布的一份報告，以太坊投資產品管理的資產在6月份暴跌46.7%至45.4億美元。相比之下，比特幣的資產管理規模在同一時期縮水了大約 33.6%。

以太坊最近錄得有史以來最糟糕的季度，自4月以來暴跌67%。與此同時，比特幣錄得自2011年以來最糟糕的季度，其價值下跌超過 68%。[2022/7/5 1:50:38]

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

阿里云為什么要被整改？

Web3云計算平臺4EVERLAND與zkSync集成:金色財經消息，Web3云計算平臺4 EVERLAND宣布與zkSync集成，開發者可以通過4EVERLAND部署基于zkSync應用的前端并將其存儲在IPFS或Arweave上，4 EVERLAND的托管服務及對象存儲系統均提供一定的免費存儲空間。（Medium）[2022/5/23 3:36:27]

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

Wormhole通過Immunefi平臺修復一高危漏洞，黑客獲1000萬美元獎勵:5月21日，據Immunefi官方消息，白帽黑客satya0x通過該平臺為跨鏈橋Wormhole檢舉出一高危漏洞，并因此獲得1000萬美元獎勵金，創下Immunefi平臺獲獎金額最高記錄。該漏洞很快得到修復，沒有用戶資金受到影響。[2022/5/21 3:32:04]

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇CSTSTIVER阿帕奇幣2022年沒有消息嘛CST幣HostinkeyLEVER幣

Uniswap