未即時報告安全漏洞 阿里雲遭大陸官方暫停合作資格

未即時報告安全漏洞 阿里雲遭大陸官方暫停合作資格。 （澎湃新聞）

大陸澎湃新聞22日報導，有媒體報稱，大陸國務院工信部網路安全管理局通報指出，阿里雲發現嚴重安全隱患後未及時報告，未有效支撐工信部開展網路安全威脅和漏洞管理，暫停阿里雲公司作爲工信部網路安全威脅資訊共用平臺合作單位6個月。

澎湃新聞報導，上述通報22日並未在大陸工信部網路安全管理局官網查到。接近工信部人士說，該消息屬實。但阿里雲方面暫無迴應。

據工業和資訊化部網路安全管理局12月17日發佈的關於阿帕奇Log4j2元件重大安全性漏洞的網路安全風險提示，阿帕奇（Apache）Log4j2元件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠端代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

風險提示指出，2021年12月9日，工業和資訊化部網路安全威脅和漏洞資訊共用平臺收到有關網路安全專業機構報告，阿帕奇Log4j2元件存在嚴重安全性漏洞。工業和資訊化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠端受控，進而引發敏感資訊竊取、設備服務中斷等嚴重危害，屬於高危漏洞。爲降低網路安全風險，提醒有關單位和公衆密切關注阿帕奇Log4j2元件漏洞補丁發佈，排查自有相關係統阿帕奇Log4j2元件使用情況，及時升級元件版本。

在風險提示中，工業和資訊化部網路安全管理局表示，將持續組織開展漏洞處置工作，防範網路產品安全性漏洞風險，維護公共互聯網網路安全。

大陸工信部官網消息，今年9月1日，工業和資訊化部網路安全威脅和漏洞資訊共用平臺正式上線運行。其中提到，根據《網路產品安全性漏洞管理規定》，網路產品提供者應當及時向平臺報送相關漏洞資訊，鼓勵漏洞蒐集平臺和其他發現漏洞的組織或個人向平臺報送漏洞資訊。平臺包括通用網路產品安全性漏洞專業庫（https：／／www.cnvdb.org.cn）、工業控制產品安全性漏洞專業庫（https：／／www.cics-vd.org.cn）、移動互聯網APP產品安全性漏洞專業庫（https：／／cappvd.cstc.org.cn）、車聯網產品安全性漏洞專業庫（https：／／cavd.org.cn）等，支持開展網路產品安全性漏洞技術評估，督促網路產品提供者及時修補和合理髮布自身產品安全性漏洞。平臺由大陸中國資訊通信研究院會同國家工業資訊安全發展研究中心、中國軟體評測中心、中國汽車技術研究中心等國家網路安全專業機構共同建設。