阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。
月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。
阿里发现的那个漏洞,可以被称为计算机 历史 上最大的漏洞-核弹级漏洞,这个漏洞比较普遍,黑客可以通过这个漏洞在服务器上做任何事。
其中指出, 阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞 ,并将漏洞情况告知阿帕奇软件基金会。 12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告 ,阿帕奇Log4j2组件存在严重安全漏洞。
前段时间 阿里云发现了代号为Log4j2的高危漏洞 ,通过CVSS评分,阿里发现这个 漏洞危险系数高达10分 ,这可以说是阿里云有史以来评分最高的高危漏洞。
此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。
1、该漏洞可以被犯罪分子或者网络黑客用于强制安装恶意程序、传播病毒并且植入木马等。而且系统漏洞很容易导致计算机上的关键信息和信息内容被盗,严重的情况会导致实际操作系统被破坏,计算机上的所有数据和信息都会丢失。
2、阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
3、漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件在java类系统中应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
4、阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。
5、危害严重 这次的漏洞被誉为是十年来最大的安全漏洞,就是因为用到的那个日志组件使用的广泛性。但是工信部门却在事发半月后才接到别的企业通知,而黑客在这段时间足以造成严重破坏。
该漏洞可以被犯罪分子或者网络黑客用于强制安装恶意程序、传播病毒并且植入木马等。而且系统漏洞很容易导致计算机上的关键信息和信息内容被盗,严重的情况会导致实际操作系统被破坏,计算机上的所有数据和信息都会丢失。
阿里云称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。此后,阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。
阿里云未及时上报漏洞被工信部处罚,这次的处罚给了国内云计算领域,尤其是安全领域很大的警示作用。
近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。 通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。
一些简单的CC攻击IP很少,CC攻击的IP可以被防火墙屏蔽。这种方法只有在攻击者的代理IP很小时才有效。限制浏览器UA UA是鉴别浏览器的重要证明。
域名解除绑定 目前大部分发起CC攻击的对象都是攻击域名,因此最好的办法就是先把域名解除绑定,这网站就无法被CC攻击了。但是同样的,取消绑定之后,其他正常用户也无法访问网站,因此这只是权宜之计。
更改Web端口:一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改web端口达到防CC攻击的目的。
针对上述情况,我们可以升级一下服务器配置,并给网站安装云防火墙,目前阿里云、腾讯云这类大厂的云防火墙价格都比较高,主机吧推荐使用百度云加速或者京东云星盾云防火墙进行拦截,这两个产品价格都非常便宜,防御效果也不错。
限制IP请求频率 CC攻击为了达到消耗服务器的作用,每个IP都会对服务器进行频繁的访问,通过防火墙限制每个IP 10秒钟内可以访问多少次,超过会被暂时拦截,可有效防御CC攻击。
IIS屏蔽IP,我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。