文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

第一个发现高危漏洞的阿里云,为什么还要被工信部暂停合作?

2024-12-02 12:15

关注

[[441838]]

功劳甚大

11月24日,阿里云在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现重大漏洞Log4Shell。发现漏洞的同时,立即向总部位于美国的阿帕奇软件基金会报告。

这个漏洞被安全圈公认为注定被载入史册的高危漏洞,漏洞一经披露,不论是大公司还是小公司,无数程序员彻夜难眠,加班加点修复该漏洞,安全圈的“热闹”场面一点不亚于2020年初新冠病毒的爆发。

[[441839]]

这个核弹级的漏洞究竟有多厉害?

不管是前端、后端还是客户端工程师,对打日志都不会陌生。日志可以帮助程序员们了解程序的运行情况,排查运行中出现的问题。

在Java技术栈中,用的比较多的日志输出框架主要有log4j2和logback。log4j2便是我们今天的主角。

网络安全领域有一个重要的原则:永远不要相信用户输入的东西。因为很多攻击皆因“用户输入”而起,比如著名的SQL注入攻击。

然而,log4j2,这个非常流行的日志输出框架却犯了这个低级错误。

log4j2中有一个叫JNDI的东西,它可以远程下载class文件来构建对象,一旦远程下载的URL指向黑客的服务器,下载的class暗藏恶意代码,会被毫无保留的执行。

也就是说,黑客可以轻而易举地控制受害目标。

这就好比两个小学生上课迟到,被门口的保安拦住,让登个记。刚想进教室被保安拦住,保安对着一个人说:“敢在登记簿上写周杰伦?你不知道我周杰伦粉丝啊?”然后对着另一个人说:“易烊千玺,你先进去。”

例子不太严谨,大体是这么个意思。这个高危漏洞会让黑客完全控制受害目标,随意进出、随意篡改。试想一下,某用户打开百度搜索首页,结果跳转到某一个色情网站的场景,对百度公司来说,绝对是史诗级灾难。

能发现如此高危漏洞,阿里云功不可没。那为什么工信部会暂停与阿里云的合作呢?

难辞其咎

阿里云是工信部网络安全威胁信息共享平台合作单位,足以证明其技术实力,但在这件事上,它犯了一个很严重的错误。

今年7月12日,工信部刊发了《网络产品安全漏洞管理规定》,已于9月1日起实施。

其中第七条(二)规定:

漏洞发现者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

遗憾的是,由于流程把控不严,阿里云并没有向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

未及时报送送网络安全威胁和漏洞信息共享平台,而直接报告给总部位于美国的阿帕奇软件基金会。直接导致相关部门没有及时掌握该漏洞的具体情况。

事情经过如下:

网络安全无小事,尤其是如此严重的漏洞,如果被一些有心人利用,极有可能威胁到国家安全。作为企业,我们应该时刻关注相关法律法规,降低经营风险。

 

 

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯