阿里云未及时报告“计算机历史上最大漏洞”，工信部已做出处罚

12月22日下午，据中国日报报道，工信部相关人士向其记者确认，因发现严重漏洞未及时报告，阿里云计算有限公司（阿里云）被暂停工信部网络安全威胁信息共享平台合作单位6个月。

对于暂停原因，工信部也做出了相关通报：

阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

有微博网友指出，在这个漏洞发现和处理的过程中，阿里云有多重身份，它同时涉及了《网络产品安全漏洞管理规定》里的：网络运营者，从事漏洞发现、收集、披露等活动的组织或个人，网络产品安全漏洞收集平台。

在从事漏洞发现、收集、披露等活动的组织或个人身份下，阿里云首先发现了漏洞，是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞，且不能报送给除产品提供者（这里是 Apache）的境外组织，阿里云遵守了作为漏洞发现组织的流程和义务。

作为网络运营者，阿里云提供的网络服务可能使用了Log4j2，从而出现安全漏洞。阿里云这个身份的义务是立即采取措施，及时对安全漏洞进行验证并完成修补。理论上讲，阿里云也较好地完成了这个身份的义务。而根据《网络安全法》，网络服务方发现其网络产品、服务存在安全缺陷漏洞应当按照规定及时向有关主管部门报告。对于这条，阿里云可能有违规行为。

同时，由于阿里云又是网络产品安全漏洞收集平台，也是工信部网络安全威胁信息共享平台合作单位。在该身份下，阿里云“未有效支撑工信部开展网络安全威胁和漏洞管理”，而这一点则是阿里云这次被处罚的关键。

据公开资料显示，阿里云11月24日就发现了上述漏洞，而这个漏洞被认为可能是“计算机历史上最大的漏洞”，随后阿里云率先向阿帕奇软件基金会（即软件的运维方）披露了该漏洞，但并末及时向工信部通报相关信息。

随后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。

那么这个安全漏洞到底是什么？为什么被认为是“计算机历史上最大的漏洞”？它的危害到底有多严重？

据悉，Log4j是被广泛应用在服务器上的软件，Log4j2组件漏洞影响了许多云服务，涉及到政务部门和大多数企业。相关研究表明，93%的云环境都存在漏洞风险，尽管现在有45%的易受攻击的云资源已被修补。

相关文件指出：“该漏洞可能导致设备远程控制，可能导致敏感信息被盗、设备服务中断等严重危害。这是一个高风险的漏洞”。通俗来讲，这个漏洞允许网络犯罪分子未经许可在系统上运行恶意代码，然后接管组织的整个服务器，也相当于我们把自己家的钥匙给了路人。

微软此前对该漏洞也发出了警告，它指出 Log4j2的双管齐下问题是一个缺陷，其中包括轻松利用其漏洞的能力以及基于它构建的产品数量。Apache Log4j2是当前使用的最流行的Java 日志库之一。

具体来说，日志库用于为开发人员提供有关服务和产品的附加信息，让他们控制在应用程序执行期间或用户登录特定服务或设备的错误报告或功能问题时收集的数据量。

使用日志库时，开发人员可以深入了解或收集有关设备的信息，包括 CPU 类型、GPU 型号、驱动程序版本、系统内存等。

对于这个漏洞的影响，如果用一个比喻来形容，可以说是软件行业的“新冠病毒”。

据网络安全公司Check Point称，迄今为止，Log4j在GitHub项目的下载量已超过400000次。更糟糕的是，它被全球多数的流行公司使用，其中不仅包括微软，还包括Twitter、苹果、亚马逊、百度、网易等。

开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可能像一个新冠病毒一样快速传播，对全球的数字化产业带来无法估量的影响，而这种影响的持续时间可能是3～5年，甚至更长。