导致阿里云被暂停合作的漏洞 究竟是什么?

时间:2021-12-28来源:栏目:网络营销

新京报贝壳财经讯(记者罗一丹)近日,阿里巴巴云因发现安全漏洞后的处理问题引发了一波舆论。据媒体报道,11月24日,阿里巴巴云安全团队向美国开源社区Apache报告,其开发的组件存在...

新京报贝壳财经讯(记者罗一丹)近日,阿里巴巴云因发现安全漏洞后的处理问题引发了一波舆论。

据媒体报道,11月24日,阿里巴巴云安全团队向美国开源社区Apache报告,其开发的组件存在安全漏洞。12月22日,阿里巴巴云因发现Apache Log4j2组件存在严重安全漏洞,未及时向电信主管部门报告,被暂停工信部网络安全威胁信息共享平台合作单位资格6个月。

12月23日,阿里巴巴云在官方微信账号上表示,其研发的一款;d工程师发现了Log4j2组件的一个安全bug,并根据行业惯例通过邮件向软件开发人员Apache开源社区报告了这个问题,寻求帮助。“随后,这个漏洞被外界确认为一个重大的全球漏洞。阿里巴巴云没有及时分享漏洞信息,是因为早期没有意识到漏洞的严重性。”

“此前发现此类漏洞直接通知了软件开发商,这确实属于行业惯例。但是,在引入《网络产品安全漏洞管理规定》之后,要求将漏洞同时通知国家主管部门。由于上述法案颁布时间不长,我认为漏洞的发现者一开始可能无法评估漏洞的范围。所以严格来说,这种待遇并不尴尬,但处罚其实没有那么严格,一是不罚款,二是不影响做生意。”一家安全公司的技术总监路征(化名)告诉壳牌财经记者。

漏洞影响有多大?

那么,如何理解Log4j2漏洞的严重性呢?

安全公司千信金将Apache Log4j2漏洞的CERT风险等级评为“高风险”。钱昕介绍,Apache Log4j是Apache的一个开源项目。通过定义每个日志信息的级别,可以更仔细地控制日志生成过程。Log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时会触发该漏洞,如果成功利用该漏洞,任何代码都可以在目标服务器上执行

安宇云防护的监测数据显示,截至12月10日中午12时,已发现近万次利用该漏洞的攻击。据了解,该漏洞影响范围广,使用方便。攻击者只需向目标输入一段代码,无需用户进行任何额外操作即可触发漏洞,使得攻击者可以远程控制受害服务器,90%以上的基于java的应用平台都会受到影响。

“Apache Log4RCE漏洞可能会引起安全圈的极大关注,这不仅是因为它容易被利用,还因为它具有巨大的潜在危害。目前几乎所有的科技巨头都在使用这个开源组件,它带来的危害就像多米诺骨牌一样深远。”安信安全专家告诉贝壳财经记者。

“这个漏洞的严重性在于两点。首先,log4j作为java日志的基本组件被广泛使用,Apache和90%以上的java应用都受到了影响。二是这个漏洞的利用入口太多,几乎达到了这个漏洞的范围,只要有输入,就会受到影响。或者用户可以直接输入的地方,比如登录用户名、查询信息、设备名称等。以及一些被攻击者污染的其他数据源,如一些在线页面等。”从事漏洞利用多年的安全行业老手网友“元哥1975”在微博中写道。

“总之,这个漏洞是近年来最大的漏洞。”路征说。

在“元歌1975”看来,漏洞出来后,由于影响面广,IT圈正在加班加点修复漏洞。但是在一些圈子里,为了说明这个漏洞的严重性,有些文章使用了高估这个漏洞的词语。“我不否认这个漏洞非常严重,肯定是排名靠前的漏洞,但要说它是历史上最大的网络漏洞,也就是说它在目前已经发现并公布的所有漏洞中排名第一,显然有点夸张。”

“恐怕log4j漏洞查找器在发现这个漏洞的时候,对这个漏洞、这个应用的范围以及漏洞的触发路径都不够了解。我相信,在阿里巴巴云报告这个漏洞之前,漏洞查找者恐怕还没有完全了解这个漏洞的真正严重性,这可能被认为是Apache下一个普通插件的漏洞。”元格1975说。

9月1日起施行新规 专家:对于维护国家网络安全具有重大意义

据了解,行业的开源法规遵循《负责任的安全漏洞披露流程》。本文档将漏洞披露分为五个阶段,即发现、公布、确认、修复和发布。发现漏洞并向原始制造商报告是行业中程序漏洞披露的常见做法。

贝壳财经记者观察到,白帽黑客建立漏洞发现和收集平台并通知企业的做法一度在圈内流行。根据《财经天下》的报告,如果将漏洞报告给原厂商而不是平台,也会有潜在的好处。包括微软、苹果、谷歌在内的厂商,经常会给举报漏洞的人奖励,“最高可以给10万美元以上”。更重要的是,名誉奖励。几乎每个厂商都会公开感谢第一个举报bug的人或团体。“对于安全研究人员来说,这个名声也会让他们非常关注。

不过,今年9月1日之后,这个行业的“通用程序”将发生变化。

7月13日,工信部、国家网信办、公安部发布《网络产品安全漏洞管理规定》,要求任何组织和个人设立的任何网络产品安全漏洞收集平台,必须在两天内向工信部网络安全威胁和漏洞信息共享平台提交相关漏洞信息。本规定自2021年9月1日起施行。

值得注意的是,《规定》也有bug查找器需要通知产品相关提供者的条款。如《规定》第七条第一款所示,发现或得知所提供的网络产品存在安全漏洞后,应立即采取措施,并组织安全漏洞核查,评估安全漏洞的危害程度和影响范围;上游产品或组件的安全漏洞应立即通知相关产品提供商。第7条第7款规定,

不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳财经记者采访时表示,《网络产品安全漏洞管理规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。

张卓表示,《规定》第十条指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。同时在第六条中指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为,有利于让白帽子在合法合规的条件下发挥更大的社会价值。

新京报贝壳财经记者 罗亦丹 编辑 白昊天 校对 李铭

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://www.jiatu888.com/wlyx/87732.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网