中世纪2全面战争-科技树事件总结
阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
阿里云未及时将“超级漏洞”上报工信部被处罚1近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的安全意识、合规意识,在思想上、制度上都有所不足。阿里云的'漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
阿里云未及时将“超级漏洞”上报工信部被处罚2近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
阿里云未及时将“超级漏洞”上报工信部被处罚312月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以383%的份额领先中国大陆市场,333%的年收入增长主要受互联网、金融服务和零售行业的推动。
以前看到玩美洲战役阿帕奇部落的人问什么时候可以招募火枪,弓骑,火枪骑等等,大家的回答总是模棱两可,没有个量化的标准。昨天玩了一下阿帕奇,火枪和骑兵倒是出来了,但是这个部落最顶尖的长矛步兵和弓手还是没有出现,所以去研究了一下建筑招募文件和事件触发文件,总结了一下条件,顺便贴上来给大家分享一下。
事件:chichi_horses_1 and Indian_horses_1
条件:击败一支骑兵部队10次(Defeat an army with cavalry 10 times)我理解为俘虏10名骑兵部队。。因为昨天我打了2仗就可以招骑兵了。下面相似的要求应该都可以这样理解。
事件发生后,奇奇美卡部落和阿帕奇部落可以升级骑兵建筑,阿帕奇部落可以招募弓骑兵,奇奇美卡部落可以招募长矛骑兵。
事件:indian_horses_2
条件:击败一支骑兵部队20次
事件发生后,阿帕奇部落可以升级高级骑兵建筑,可以招募更多的弓骑兵,在Indian_gun_1事件发生后可以招募火枪骑兵。
事件:indian_horses_3
条件:击败一支骑兵部队30次
事件发生后,阿帕奇部落可以升级顶级骑兵建筑,可以招募海量弓骑兵,在indian_gun_1事件发生后可以招募大量火枪骑兵。
事件:indian_gun_1 and chichi_gun_1
条件: 击败一支火药部队10次
事件发生后,阿帕奇和奇奇美卡部落可以升级火枪营地,招募土著火枪兵。
事件:indian_guns_2
条件: 击败一支火药部队20次
事件发生后,阿帕奇部落可以升级高级火枪营地,可以招募大量土著火枪兵。
事件:indian_hunters_1
条件:招募20单位的远程单位(包括标枪和弓箭),以及占领5个村落(土著不应该叫城市吧。。。)。
事件发生后,阿帕奇部落可以升级中级弓箭营地,可以招募中级弓箭手“Dog Soldiers"。
事件:indian_hunters_2
条件:招募50单位的远程单位(包括标枪和弓箭),以及占领10个村落。
事件发生后,阿帕奇部落可以升级高级弓箭营地,可以招募阿帕奇特色弓箭手“Koitsenko”。
事件:indian_raiders_1
条件:招募20单位的肉搏步兵单位,以及在5场战斗中胜利。
事件发生后,阿帕奇部落可以升级中级步兵营地,可以招募中级步兵“Apachean Scouts”。
事件:indian_raiders_2
条件:招募50单位的肉搏步兵单位,以及在10场战斗中胜利。
事件发生后,阿帕奇部落可以升级高级步兵营地,可以招募高级长矛步兵“Onde's Men”(中2里面攻击力最高的长矛兵哦)。
最后提醒,招募单位是不能叠加的。要在一个村落生产高级步兵,就必须在这个村落招满需要数量的相应单位。其它俘虏等条件都是可以叠加的,只要事件发生过了就所有村落都可以建造了。
以上是根据游戏提供的文件翻译和个人初次体验得来的,也许会有漏洞,大家来讨论一下吧。
以前看到玩美洲战役阿帕奇部落的人问什么时候可以招募火枪,弓骑,火枪骑等等,大家的回答总是模棱两可,没有个量化的标准。昨天玩了一下阿帕奇,火枪和骑兵倒是出来了,但是这个部落最顶尖的长矛步兵和弓手还是没有出现,所以去研究了一下建筑招募文件和事件触发文件,总结了一下条件,顺便贴上来给大家分享一下。
事件:chichi_horses_1 and Indian_horses_1
条件:击败一支骑兵部队10次(Defeat an army with cavalry 10 times)我理解为俘虏10名骑兵部队。。因为昨天我打了2仗就可以招骑兵了。下面相似的要求应该都可以这样理解。
事件发生后,奇奇美卡部落和阿帕奇部落可以升级骑兵建筑,阿帕奇部落可以招募弓骑兵,奇奇美卡部落可以招募长矛骑兵。
事件:indian_horses_2
条件:击败一支骑兵部队20次
事件发生后,阿帕奇部落可以升级高级骑兵建筑,可以招募更多的弓骑兵,在Indian_gun_1事件发生后可以招募火枪骑兵。
事件:indian_horses_3
条件:击败一支骑兵部队30次
事件发生后,阿帕奇部落可以升级顶级骑兵建筑,可以招募海量弓骑兵,在indian_gun_1事件发生后可以招募大量火枪骑兵。
事件:indian_gun_1 and chichi_gun_1
条件: 击败一支火药部队10次
事件发生后,阿帕奇和奇奇美卡部落可以升级火枪营地,招募土著火枪兵。
事件:indian_guns_2
条件: 击败一支火药部队20次
事件发生后,阿帕奇部落可以升级高级火枪营地,可以招募大量土著火枪兵。
事件:indian_hunters_1
条件:招募20单位的远程单位(包括标枪和弓箭),以及占领5个村落(土著不应该叫城市吧。。。)。
事件发生后,阿帕奇部落可以升级中级弓箭营地,可以招募中级弓箭手“Dog Soldiers"。
事件:indian_hunters_2
条件:招募50单位的远程单位(包括标枪和弓箭),以及占领10个村落。
事件发生后,阿帕奇部落可以升级高级弓箭营地,可以招募阿帕奇特色弓箭手“Koitsenko”。
事件:indian_raiders_1
条件:招募20单位的肉搏步兵单位,以及在5场战斗中胜利。
事件发生后,阿帕奇部落可以升级中级步兵营地,可以招募中级步兵“Apachean Scouts”。
事件:indian_raiders_2
条件:招募50单位的肉搏步兵单位,以及在10场战斗中胜利。
事件发生后,阿帕奇部落可以升级高级步兵营地,可以招募高级长矛步兵“Onde's Men”(中2里面攻击力最高的长矛兵哦)。
最后提醒,招募单位是不能叠加的。要在一个村落生产高级步兵,就必须在这个村落招满需要数量的相应单位。其它俘虏等条件都是可以叠加的,只要事件发生过了就所有村落都可以建造了。
以上是根据游戏提供的文件翻译和个人初次体验得来的,也许会有漏洞,大家来讨论一下吧。
阿里云回应被工信部严惩
阿里云回应被工信部严惩,此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云回应被工信部严惩。
阿里云回应被工信部严惩112月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以383%的份额领先中国大陆市场,333%的年收入增长主要受互联网、金融服务和零售行业的推动。
阿里云回应被工信部严惩2近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的`安全意识、合规意识,在思想上、制度上都有所不足。阿里云的漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
阿里云回应被工信部严惩3近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
新京报贝壳 财经 讯(记者 罗亦丹)因发现安全漏洞后的处理问题,近日阿里云引发了一波舆论。
据媒体报道,11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了其所开发的组件存在安全漏洞。12月22日,因发现Apache Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。
12月23日,阿里云在官方微信公号表示,其一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助,“随后,该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。”
“之前发现这样的漏洞都是直接通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长,我觉得漏洞的发现者,最开始也未必能评估到漏洞影响的范围这么大。所以严格来说,这个处理不算冤,但处罚其实也没有那么严格,一不罚钱,二不影响做业务。””某安全公司技术总监郑陆(化名)告诉贝壳 财经 记者。
漏洞影响有多大?
那么,如何理解Log4j2漏洞的严重程度呢?
安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”,奇安信描述称,Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程,“Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。”
安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于java开发的应用平台都会受到影响。
“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注,不仅在于其易于利用,更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件,它所带来的危害就像多米诺骨牌一样,影响深远。”奇安信安全专家对贝壳 财经 记者表示。
“这个漏洞严重性在于两点,一是log4j作为java日志的基础组件使用相当广泛,Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多,几乎达到了(只要)是这个漏洞影响的范围,只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等,以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵,网友“yuange1975”在微博发文称。
“简而言之,该漏洞算是这几年来最大的漏洞了。”郑陆表示。
在“yuange1975”看来,该漏洞出来后,因为影响太广泛,IT圈都在加班加点修补漏洞。不过,一些圈子里发文章为了说明这个漏洞的严重性,又有点用了过高评价这个漏洞的词语,“我不否认这个漏洞很严重,肯定是排名很靠前的漏洞,但是要说是有史以来最大的网络漏洞,就是说目前所有已经发现公布的漏洞里排第一,这显然有点夸大了。”
“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足,这个应用的范围以及漏洞触发路径,我相信一直到阿里云上报完漏洞,恐怕漏洞发现者都没完全明白这个漏洞的真正严重性,有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。
9月1日起施行新规 专家:对于维护国家网络安全具有重大意义
据了解,业界的开源条例遵循的是《负责任的安全漏洞披露流程》,这份文件将漏洞披露分为5个阶段,依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商,是业内常见的程序漏洞披露的做法。
贝壳 财经 记者观察到,白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道,把漏洞报给原厂商而不是平台方,也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励,“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体,都会公开致谢。“对于安全研究人员而言,这种名声也会让他们非常在意。
不过,今年9月1日后,这一行业“常见程序”就要发生变化。
7月13日,工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,要求任何组织或者个人设立的网络产品安全漏洞收集平台,应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。
值得注意的是,《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。第七条第七款则表示,不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示,《网络产品安全漏洞管理规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。
张卓表示,《规定》第十条指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。同时在第六条中指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为,有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。
我对米-28“浩劫”和阿帕奇都少了解一些,我就发个大家看看有不足之处咪我: 米28简称米 阿帕奇简称阿
1 火力对决:阿 和米 的装备几乎是一模一样的阿 使用的是m230链式机炮发射的子弹可穿透bmp-2的装甲 而米 使用的是2a42型30mm机炮创佳能力相当,其反坦克导弹都比较先进阿 用得是“海尔法”米 用的是AT-6 这是活力方面都差不多,难分胜负。
2 机电系统:阿的心脏集中在机鼻处是 TADS/PNVS 全天候目标探测系统其中的不见就不用说了,就是那老几样。而米 就不是很好了,航电系统一直就不是俄罗斯的强项比起阿 来要逊色不少 米 是串列双座射手在前,其观测装备就是机首下方的光学观测仪和激光测距仪还有两套系统辅助就是前视红外探测器和这个地方具体是什么我忘了嘿嘿,正因为这些与阿 难以抗衡所以俄方有推出了改进型米-28N弥补了不少的漏洞。
3 机动性能:这个就不用说了,发动机当然是俄罗斯的好但是米 的重量比阿 重,阿 的转身速度已接近人体了而米却需要3秒钟才能转身,这就没办法了米又比阿 差了一截。
4 战场存活性:这一项两方的保护都很到位尤其是关键部位防护比较得当,相应的地方都加装了装甲和陶瓷板。所以问题不大
5 总结:阿帕奇 在机电系统和机动方面都掠胜于 浩劫 但是这只是从一些参数上得到的结论真正的胜负要让战火来判断,其实卡-50 米-24 米28-N 这些都是比较主力的直升机技术也比较成熟。
阿里云因未及时报告严重漏洞被处罚
阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以383%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。
阿里云因未及时报告严重漏洞被处罚1近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
阿里云因未及时报告严重漏洞被处罚212月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以383%的份额领先中国大陆市场,333%的年收入增长主要受互联网、金融服务和零售行业的推动。
阿里云因未及时报告严重漏洞被处罚3近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的'安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的安全意识、合规意识,在思想上、制度上都有所不足。阿里云的漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
0条评论