(原标题:严重漏洞未及时上报,阿里巴巴云被暂停工信部网络安全威胁信息共享平台合作单位6个月)
12月22日,据21世纪经济报道消息,近日,工信部网络安全管理局通报称,阿里巴巴云计算有限公司(以下简称“阿里巴巴云”)在发现Apache)Log4j2组件存在严重安全漏洞后,未及时向电信主管部门报告,未能有效支持工信部开展网络安全威胁和漏洞治理。
指出阿里巴巴云是工信部网络安全威胁信息共享平台的合作单位。经研究,工信部网络安全管理局决定暂停阿里巴巴云作为上述合作单位6个月。停牌期满后,根据阿里巴巴云的整改情况,研究恢复其上述合作单位。
观察员几天前详细报道了这一事件。11月24日,阿里巴巴云发现可能是“计算机史上最大的漏洞”后,率先向阿帕奇软件基金会披露了漏洞,但未能及时通报中国工信部。
随后,奥地利和新西兰的官方计算机应急小组率先对此漏洞发出警告,而中国工业和信息化部在收到网络安全专业组织的报告后,发现Apache Log4j2组件存在严重的安全漏洞。
根据工信部、国家网信办、公安部联合发布的《网络产品安全漏洞管理规定》,网络产品提供商应在2日内向工信部提交相关漏洞信息,工信部于12月9日,即阿里巴巴云首次发现漏洞15天后,发现上述漏洞。
工业和信息化部官网截图
观察人士注意到,工信部网络安全管理局12月17日发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。
其中,Apache)Log4j2组件是基于Java语言的开源日志框架,广泛应用于业务系统开发中。近日,阿里巴巴云发现Apache Log4j2组件存在远程代码执行漏洞,并向Apache软件基金会通报了该漏洞。
12月9日,工信部网络安全威胁与漏洞信息共享平台接到相关网络安全专业机构举报,Apache Log4j2组件存在严重安全漏洞。
随后,工信部立即组织相关网络安全专业组织开展漏洞风险分析,召集阿里巴巴云、网络安全企业、网络安全专业组织进行研判,通知督促阿帕奇软件基金会及时修复漏洞,并对行业单位进行风险预警。
工信部网络安全管理局指出,该漏洞可能导致设备远程控制,可能导致敏感信息被窃取、设备服务中断等严重危害,是高风险漏洞。为降低网络安全风险,提醒相关单位和公众密切关注Apache Log4j2组件漏洞补丁的发布,查看自身相关系统中Apache Log4j2组件的使用情况,及时升级组件版本。
今年9月1日,为落实《网络产品安全漏洞管理规定》的相关要求,工业和信息化部网络安全管理局组织建设了工业和
信息化部网络安全威胁和漏洞信息共享平台正式上线运行。
平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
观察者网查询发现,《网络产品安全漏洞管理规定》第七条指出:
网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/155356.html