阿帕奇:羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!_阿帕奇幣最新價格

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

BTC最后活躍10年以上的供應量到歷史新高:金色財經報道，據Glssnode數據顯示，BTC最后活躍10年以上的供應量剛剛達到2,658,567.739 BTC的歷史新高。[2023/3/15 13:06:03]

什么是阿帕奇Log4j2組件漏洞？

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

Alexa Pro項目遭到漏洞攻擊，損失45枚BNB:金色財經消息，據CertiK監測，Alexa Pro項目遭到漏洞攻擊，損失45枚BNB (約1.3萬美元)。目前的證據表明，價格操縱是導致該事件的原因。BSC合約地址: 0x76c82Eef290f8de6E230cbaddf508f16c202b52B[2023/3/5 12:42:57]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

杭州在元宵節當晚舉辦元宇宙煙花大會:2月6日消息，時隔 11 年，杭州再次舉辦元宵節煙花大會。杭州今年將推出亞運迎新主題煙花秀，燃放地點位于錢塘江南岸奧體中心區域，以“政府放、群眾看”的方式，傳遞新春祝福。煙花秀燃放時間約 30 分鐘，含前后暖場、散場燈光秀時間約 50 分鐘。與此同時，由杭州第 19 屆亞運會組委會、浙江省文化和旅游廳指導，中國電信浙江公司、浙江省文化和旅游宣傳推廣信息中心主辦的“浙里煙火”?杭州亞運 - 元宇宙煙花大會在 2 月 5 日（元宵節）上演。[2023/2/6 11:48:55]

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

Genesis Global成立了代表無擔保債權人的七人委員會:金色財經報道，Genesis Global在美國的破產案中成立了一個代表無擔保債權人的七人委員會。無擔保債權人委員會將在法庭上為債權人代言。委員會成員是：SOF International、Teddy Andre Amadeo Gorisse（個人債權人）、Digital Finance Group（一家投資公司）、Richard R. Weston（個人債權人）、Mirana（加密貨幣交易所 Bybit 的投資部門）、Amelia Alvarez（個人債權人）、Bitvavo（一個加密貨幣交易所）。

此前報道，Genesis對前50大債權人的欠款金額超35億美元。（Theblock）[2023/2/4 11:47:24]

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

Kakao旗下公鏈Klaytn將推出游戲NFT市場Klaybay:6月27日消息，韓國互聯網巨頭Kakao旗下公鏈Klaytn計劃推出游戲NFT市場Klaybay，Klaybay測試版將于本月發布。此外，Klaytn計劃在7月推出Klaybay的神秘盒子鑄幣系統，通過輸入項目數、每個等級的數量以及每個等級的概率來創建隨機項目而無需編程。（TechM）[2022/6/27 1:33:49]

阿里云為什么要被整改？

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇KLAYCSTSTI阿帕奇幣最新價格klay幣怎么樣CSTL幣YearnAgnostic Finance

幣安app下載