2021年12月23日

 

中國網路安全監管部門星期三（12月22日）暫停阿里雲公司作為工信部網路安全威脅資訊共用平臺合作單位的資格6個月。此前，阿里雲在發現一款基於Java語言的開源日誌框架元件嚴重安全性漏洞隱患後，未及時按程序向工信部報告。

今年11月24日，阿里雲安全團隊發現阿帕奇Log4j2元件存在遠端代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。但是，作為工信部網路安全威脅資訊共用平臺合作單位的阿里雲，沒有及時將這個安全性漏洞報告給工信部網安局。

直到12月9日，工業和資訊化部網路安全威脅和漏洞資訊共用平臺才收到有關網路安全專業機構的報告，稱阿帕奇Log4j2組件存在嚴重安全性漏洞。

 

中國媒體報導說，工信部稱，阿里雲發現網路安全性漏洞卻不及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理，因此暫停阿里雲作為工信部網路安全威脅資訊共用平臺合作單位的資格半年，並在暫停期滿後，根據阿里雲公司整改情況，再研究是否恢復其合作單位的資格。

Apache Log4j2遠端代碼執行漏洞可能導致設備遠端受控，進而引發敏感資訊竊取、設備服務中斷等嚴重危害，屬於高危漏洞。

工信部12月17日發佈了關於阿帕奇Log4j2元件重大安全性漏洞的網路安全風險提示，提醒有關單位和公眾密切關注阿帕奇Log4j2元件漏洞補丁發佈，排查自有相關系統阿帕奇Log4j2元件使用情況，及時升級元件版本。

 

路透社稱，工信部對阿里雲的處罰凸顯出中國當局以國家安全為由，加強對關鍵網路基礎設施控制的努力。中國當局還要求國企在明年把他們的資料儲存從阿里雲和騰訊雲等私營公司，遷移到國家支援的雲系統。