商业源码 阿里云未及时将“超级漏洞”上报工信部被处罚
阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
阿里云未及时将“超级漏洞”上报工信部被处罚1近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的安全意识、合规意识,在思想上、制度上都有所不足。阿里云的'漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
阿里云未及时将“超级漏洞”上报工信部被处罚2近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
阿里云未及时将“超级漏洞”上报工信部被处罚312月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以383%的份额领先中国大陆市场,333%的年收入增长主要受互联网、金融服务和零售行业的推动。
公司项目做等保,扫描出了这个漏洞
DES和Triple DES 信息泄露漏洞(CVE-2016-2183)
做为高危漏洞,那是必须要修复的,这个漏洞也是第一次接触,就很费功夫。
先是在网上查询了大量的资料,还有相关的修复文档,里边的内容大部分都是:
1升级openssl
2升级openssh
3升级nginx
4修改nginx的conf文件配置
我按照文档上的进行一一升级修改,还是能扫描出来,然后开始怀疑是不是升级的版本不对,于是就重新安装了一遍
特别是nginx的conf文件,改来改去都改得面目全非了,结果一扫描,还是存在漏洞
然后怀疑,是不是方向错了,因为我们用的都是阿里云的服务,又向阿里云提交工单咨询,
不得不吐槽,阿里云的回复速度太慢了,等的花儿都谢了,按照阿里云客服的回复,改了些相关配置,还是不行
最后不得已,去寻求等保人员的帮助,在试了n多种方法之后,终于在一次修改完阿里云配置后,漏洞修复了!!!
流程是在阿里云控制台的web应用防火墙里边,进去网站接入菜单,服务器列表,把对应的服务器关闭引流
然后在扫描这个漏洞就没有了
其中用到了扫描的工具,nmap,可以自己扫描漏洞还存不存在,44后边的111111111换成自己服务器的ip
主要是看扫描的结果有没有带DES算法,修复完我扫描了一次,已经没有DES了
大多用户在选购云服务器的时候首先考虑的就是阿里云服务器,不仅是因为阿里云服务器是国内知名度最高的云服务器品牌,还有一个重要原因就是阿里云服务器有一定的安全性保障吧。阿里云服务器本身自带一些安全防护措施。
1、免费开通云盾,提供网络安全、服务器安全等基础防护
DDoS 基础防护 :
提供最高 5G 的 DDoS 防护能力,可防御 SYN flood、UDP flood、ICMP flood、ACK flood 常规 DDoS 攻击。
2、服务器安全功能: 安骑士
包含暴力破解密码拦截、木马查杀、异地登录提醒、高危漏洞修复的防入侵功能
免费提供云监控,并支持多种实时预警
3、站点监控:
提供对 http、ping、dns、tcp、udp、smtp、pop、ftp 等服务的可用性和响应时间的统计、监控、报警服务。
4、云服务监控:
提供对云服务的监控报警服务,对用户开放自定义监控的服务,允许用户自定义个性化监控需求
报警及联系人管理:提供对报警规则,报警联系人的统一、批量管理服务。支持多报警方式:短信、邮件、旺旺、接口回调。
除了以上自带的安全性防护措施之外,用户也可以选购阿里云安全类产品,进一步加强云服务器的安全。
1、阿里云云盾(AntiDDos)
功能:防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻击等3到7层DDos攻
击。
2、安骑士(阿里云查、杀毒软件)
功能:轻量级服务器安全运维管理产品。在服务器上运行Agent插件,正常状态下只占用1%的CPU、
10MB内存。可以自动识别服务器Web目录,对服务器的Web目录进行后门文件扫描,支持通用
Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑
系统账户、弱口令、注册表等。
3、 云盾Web应用防火墙 —WAF(Web Application Firewall)
功能:基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、Web服务器插件漏洞、木马
上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击等。除了具有强大的Web
防御能力,还可以指定网站的专属防护,能轻松应对各类Web应用攻击。
1、服务器初始安全防护
安装服务器时,要选择绿色安全版的防护软件,以防有被入侵的可能性。对网站提供服务的服务器,软件防火墙的安全设置最高,防火墙只要开放服务器端口,其他的一律都关闭,你要访问网站时防火墙会提示您是否允许访问,在根据实际情况添加允许访问列表。这样至少给系统多一份安全。
2、修改服务器远程端口。
修改你的远程连接端口,例如 windows 的 3389,Linux 的 22 端口。应用服务尽量不要对公网开放,尤其是中间件服务,除了 web 服务所提供的 80,443 端口之外都应该尽量不要对公网开放默认端口,例如 MySQL 的 3306 ,Redis 的 6379 等等。
3、设置复杂密码。
一但服务器IP被扫描出来默认端口,非法分子就会对服务器进行暴力破解,利用第三方字典生成的密码来尝试破解服务器密码,如果您的密码足够复杂,非法分子就需要大量的时间来进行密码尝试,也许在密码未破解完成,服务器就已经进入保护模式,不允许登陆。
4、随时修补网站漏洞
如果网站出现漏洞时不及时处理,网站就会出现一系列的安全隐患,这使得服务器很容易受到病毒入侵,导致网络瘫痪,所以,平时要养成良好的习惯,时刻关注是否有新的需修补的漏洞。
5、多服务器保护
一个网站可以有多个服务器,网站被攻击时,那么我们就可以选择不一样的方式进行防范,针对不同的服务器,我们应该设置不同的管理,这样即使一个服务器被攻陷,其他的服务还可以正常使用。
6、利用好防火墙技术
现在防火墙发展已经很成熟了,防火墙可以选择安全性检验强的,检验的时间会较长,运行的过程会有很大负担。如果选择防护性低的,那么检验时间会比较短。我们在选择防护墙时,要根据网络服务器自身的特点选择合适的防火墙技术。
7、定时为数据进行备份。
定时为数据做好备份,即使服务器被破解,数据被破坏,或者系统出现故障崩溃,你只需要进行重装系统,还原数据即可,不用担心数据彻底丢失或损坏。
系统漏洞会影响到的范围很大,包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。
腾讯电脑管家可以修复Windows操作系统漏洞,还可以智能筛选区分出高危漏洞补丁及功能性补丁,操作方法:腾讯电脑管家-工具箱-选择“修复漏洞”。
网站有漏洞怎么修复啊,我的网站被挂马了,怎么办?
修补漏洞(修补网站漏洞也就是做一下网站安全。)1、修改网站后台的用户名和密码及后台的默认路径。2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。6、写入一些防挂马代码,让框架代码等挂马无效。7、禁用FSO权限也绩一种比较绝的方法。8、修改网站部分文件夹的读写权限。9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全
也是很有必要了!
建议楼主可以下载一个腾讯的电脑管家,进行实时监测,我现在电脑上用的就是这个安全软件,感觉不错,毕竟很专业。我给我爸爸妈妈的电脑也下载了这个,感觉挺方便。腾讯电脑管家的定位是安全软件,定期体检、及时修复漏洞、开启所有防护,可以很好的保护电脑的安全,同时腾讯电脑管家拥有管理软件、查杀病毒木马、系统优化、账号保护、硬件检测、软件搬家等功能。还不错。。你可以试试,个人建议。。希望能帮到你,望采纳,谢谢
网站的漏洞应该怎样修复?
如果发现漏洞的话要看是什么漏洞,找对应的代码修改下。
我在i春秋学院看到过类似的课程,好像是i春秋学院联合知道创宇404 实验室·漏洞社区组制作的漏洞实例讲解系列培训课程。更重要的是,除了在想视频可以看,他们还提供在线实验室,不到1分钟就能配好一个实验用的虚拟环境,特别牛!这一点在其它地方基本找不到。
网站存在SQL注入漏洞,怎么修复
网站存在SQL注入漏洞,怎么修复
我理解的SQL注入是这么一回事。比如你做一个登录的功能,你后台的SQL拼接 是
WHERE USER_NAME = 'XX' AND PASSWORD = 'XX'
如果用户想办法将 USER_NAME 的值穿过去是 ' OR 1=1 OR '' = 这个的话 (包括引号)
那么你的查询条件将失效 将会查出全部的用户。
这种注入 能防范的方法太多了。 比如查出来之后 你可以用PASSWORD和用户输入的PASSWORD对比一下 看是否一致 不一致 说明是入侵。
我的网站360检测有高危漏洞,怎么修复?
360检测网站有高危漏洞,网站也是程序,你可以到程序官功下载升级补丁,升级网站程序一般就可以修复这些漏洞
一般网站的漏洞怎么修补好?
“微软8月修复17个危急漏洞 创两年来最高记录”,其中就包括你说的两个,还有045,047等等,所以这事也是刚出来的。
你电脑有装迅雷吗,左上角任务管理有个“系统漏洞修复”,它会自动检测你电脑的漏洞,我检测过就有你这两项,然后直接点下载并修复就可以了,不过还有一些漏洞的,只是级别比较轻迅雷不会显示,要想真正做到补漏,只有到microsoft官方网站,检测并下载,一般这个过程很耗时。
我弄好了,虽然速度很慢。希望以上对你有帮助
网站出现漏洞该怎么办
根据漏洞做相应的补丁修改,如果用的第三方程序可以直接官方下载,然后升级相应的防护措施,权限等设置好,网站安全问题饿可提供帮助
怎么修复网站漏洞,网站有漏洞去哪里修复,找专业的安全公司费用太高。求帮助 20分
开启系统日志,触细分析日志。
关闭错误输出。
本地仔细查看源代码。
网上找相关的注入软件。或者攻击的软件。都可以。
网站存在后台登陆地址漏洞怎么修复
打开腾讯电脑管家——工具箱——修复漏洞,进行漏洞扫描和修复。
建议设置开启自动修复漏洞功能,开启后,电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下:进入电脑管家“修复漏洞”模块—“设置”,点击开启自动修复漏洞即可。
网站出现高危漏洞应该怎么修复?是要给网站打补丁吗?该怎么弄?
网站出现高危漏洞后,需要修复有漏洞的代码,通常是一些危险字符的过滤
也可以使用一些现成的漏洞修复脚本进行修复,主要就是过滤用户输入的危险字符
ECS云服务器对外攻击解锁后解决方案
注意:排查前请先创建快照备份,避免误操作导致数据丢失无法还原。
2015年11月10日,我们检测到黑客大规模利用Redis漏洞攻击,植入木马,请务必重点关注。
如果您有安全技术支持需求,如排查服务器 WEB 应用被黑、网站挂黑链、网站网页被修改、服务器中马清理、漏洞检测并修复、安全事件快速响应、您可以购买我们的付费云托管服务 http://wwwaliyuncom/product/mss 。
排查病毒木马
使用 netstat 查看网络连接,分析是否有可疑发送行为,如有则停止。
使用杀毒软件进行病毒查杀。
Linux常见木马清理命令:
chattr -i /usr/bin/sshd
rm -f /usr/bin/sshd
chattr -i /usr/bin/swhd
rm -f /usr/bin/swhd
rm -f -r /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/ssh
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9
排查并修复服务器漏洞
查看服务器账号是否有异常,如有则停止删除掉。
查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10 位及以上。
查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 后台密码,提高密码强度(字每+数字+特殊符号)大小写,10 位及以上,不使用建议关闭 8080 管理端口。
查看WEB应用是否有漏洞,如 struts, ElasticSearch 等,如有则请升级。
Jenkins管理员无密码远程执行命令漏洞,如有请设置密码或关闭 8080端口管理页面。
查看 Redis 无密码可远程写入文件漏洞,检查 /root/ 下黑客创建的SSH 登录密钥文件,删除掉,修改 Redis 为有密码访问并使用强密码,不需要公网访问最好 bind 127001 本地访问。
查看 MySQL、SQLServer、FTP、WEB 管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10 位及以上。
如果有安装第三方软件,请按官网指引进行修复。
开启云盾服务
开启云盾服务,并开启所有云盾安全防护功能对您的主机进行安全防护,免于再次遭到恶意攻击。
实施安全防御方案,请您尽快开启安骑士服务,同时也建议您配置云盾服务。
如果问题仍未解决
经过以上处理还不能解决问题,强烈建议您执行下列操作:
将系统盘和数据盘的数据完全下载备份到本地保存。
重置全盘。登陆 云服务器ECS控制台。
单击进行您需要进行初始化的实例,备份完服务器数据。
关闭实例。
单击 重置磁盘,按您的实际情况选择系统盘和数据盘重置即可。6 重新部署程序应用并对数据进行杀毒后上传,并重新进行前述的 3 步处理。
如果问题还未能解决,请联系售后技术支持。
0条评论