阿里云称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。此后,阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
1、漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件在java类系统中应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
2、阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
3、阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。
阿里云称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。此后,阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理,根据工信部最新通报,工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
阿里云未及时将“超级漏洞”上报工信部被处罚,阿里云发现这个可能是“计算机历史上最大的漏洞”后,并未及时向中国工信部通报相关信息。阿里云未及时将“超级漏洞”上报工信部被处罚。
阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。”“之前发现这样的漏洞都是直接通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。
阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。