阿里云被工信部处罚

阿里云在11月发现了Apache(阿帕奇)史上尽可能最严重的漏洞，但却没有国内主管部门工信部报告，而是首先向美国的Apache软件基金汇报了此问题。最后工信部是从网络安全专业机构得到的消息。

阿里云给美国的开源组织上报完了，却把工信部扔下了，属于严重的不合作行为，被工信部暂停合作单位资格6个月。

根据阿里云与工信部合作要求：发现漏洞两日内报告给工信部。暂停合作是因为没及时汇报，规定写的很清楚要2日内报告。而不是因为发现漏洞。有功夫给apache报，没功夫给国家报?

据观察者网报道，2021年11月24日，阿里云团队发现了著名Web服务器软件Apache下的开源日志组件Log4j内，有一个严重漏洞Log4Shell，该漏洞可以让网络攻击者无需密码就能访问网络服务器，有网络安全专家认为，该漏洞潜在危害极大，可能是“计算机史上最大漏洞”。

因为存在于Java日志框架的Log4j，被广泛应用于各种应用程序和网络服备，几乎每个网络安全系统都会利用一些日志框架进行纪录，Log4j一旦出现漏洞 ，影响范围，将是世界级的，截止目前，包括苹果、三星、steam、亚马逊和推特等在内的巨头皆受到攻击或潜在攻击风险。

阿里云团队提交该漏洞后，Apache软件基金会已将这一漏洞的业重性列为最高的10级，网安公司Tenable相关负责人直言，Log4Shell是“过去十年内最大也是最关键的单一漏洞”。

阿里这事就是典型的技术思维不讲政治，技术人员其实思路没问题，先报给开发商，等待开发商修复。但是阿里的人忘记了他是中国公司，他应遵守中国的法律法规，就跟美国企业为啥放着钱不赚不卖芯片给你中国人?违反了工信部的规定挨罚那是活该。何况是中美关系这么紧张的当下。

科技无国界，但安全有国界，跟大敌当前，发现敌情却不报，偷摸后撤没有两样。至于有人骂工信部猪头，没能力发现安全漏洞，完全是混淆视听。

来源：卢松松博客 QQ/微信：13340454 ，转载请注明出处！

本文地址：https://lusongsong.com/blog/post/15439.html