本文字數：3534，閱讀時長大約6分鐘

文 |《財經》E法 劉暢

編輯 | 朱弢

阿里云因一次安全隱患登上熱搜。

12月17日，工業和信息化部網絡安全管理局通報稱，提醒有關單位和公眾“密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本”。

“阿帕奇（Apache）Log4j2組件”是基于Java語言的開源日志框架，包括控制Java類系統日志信息生成、打印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用于各種應用程序和網絡服務。

此通報一出，引發“IT”圈的震動。

“前幾天一直在加班加點做補丁，”一位搜索引擎網站的開發工程師對《財經》E法表示，“這個組件覆蓋面極大，影響到的企業也非常多。我認識的大多數業內同行都在為這事兒加班。這是一個“超級史詩”漏洞。”

12月22日，有接近工信部的消息人士透露，工信部網絡安全管理局的一次內部通報指出，因阿里云公司發現Log4j2組件嚴重安全漏洞隱患后，未及時向主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理，阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據阿里云的整改情況，研究恢復其上述合作單位。

12月23日晚間，阿里云通過官方微信公號發布了聲明，稱“因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息”，并強調將強化漏洞管理、提升合規意識。

Log4j2組件的這個漏洞可能的影響究竟多大？阿里云又為何被處罰？

01

Log4j2組件是什么？漏洞影響有多大？

在12月23日晚間的通報中，阿里云表示：“近日，阿里云一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，并向全球發布修復補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。”

阿里云微信公眾號23日晚間發布的情況說明。

工信部在12月17日發布的通報中表示，自身是于12月9日接到“有關網絡安全專業機構”報告，稱Log4j2 組件存在“嚴重安全漏洞”。

而阿里云官網則于12月9日晚11時左右發布漏洞通告，稱安全團隊發現Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應的修復方案。

一個值得注意的細節是，多位IT界人士對《財經》E法透露，根據自已所在公司的內部通報和“各類信息來源”，阿里云可能在更早的11月末就已發現這一重大漏洞“Log4Shell”，并向總部位于美國的阿帕奇軟件基金會（Apache Software Foundation）報告。

阿帕奇軟件基金會（Apache）于1999年在美國成立，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟件產品都遵循Apache許可證（Apache License）。

阿里云官網12月9日晚發布的漏洞通告。

12月14日，中國國家信息安全漏洞共享平臺發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》，供相關單位、企業及個人參考。

12月14日中國國家信息安全漏洞共享平臺發布的《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》截圖。

12月22日，工信部發布內部通報，決定暫停阿里云作為工信部網絡安全威脅信息共享平臺合作單位6個月。

多位程序員向《財經》E法表示，作為最常用的Java程序日志監控組件和Java全生態的基礎組件之一，Log4j2一旦出現問題，影響將是“災難性的”。

小盾安全產品技術專家趙山對《財經》E法指出，Apache Log4j 是目前最為優秀的開源 Java 日志記錄工具之一，被大量應用于互聯網業務系統的開發和應用，Log4j 2為其重要的升級版本。

“該漏洞風險是由Log4j 2 提供的lookup功能造成的，該功能允許通過一些協議去讀取相應環境中的配置，且未對輸入進行嚴格的判斷，使得攻擊者可以通過JNDI注入實現遠程加載惡意類到應用中，從而控制終端設備。”趙山表示。

趙山為互聯網企業提出應急、排查、升級“三步走”的防護策略。

“第一步，止血是關鍵，要啟動WAF/IPS等安全設備，創建有效的防護規則和策略。”趙山表示。

接下來則應排查應用是否引入Apache Log4j-core Jar包。“若存在依賴引入，且在受影響版本范圍內，建議在不影響現有應用的前提下盡快升級最新版本。”趙山說。

此外，升級已知受影響的應用及組件及jdk版本（即Java 語言的軟件開發工具包），也可在一定程度上限制JNDI等漏洞利用方式。

據Canalys發布中國云計算市場2021年第三季度報告顯示，阿里云、華為云、騰訊云和百度云占據第一梯隊，其中阿里云市場份額排名第一，份額為38.3%，華為云為17%，騰訊云為16.6%，百度云為8.2%。

12月22日，阿里巴巴港股開盤下跌，截至收盤跌幅5.14%；23日，跌幅1.39％；截至今日港股收盤，阿里巴巴報收113港元，跌幅0.26％，市值2.45萬億港元。

02

對中國網絡安全界的一次警示

隨著阿帕奇軟件基金會于12月9日披露Log4j漏洞，蘋果、亞馬遜、IBM、微軟、推特等全球大量可能受到這一漏洞影響的互聯網公司均發布相關風險提示和警告。

“這個漏洞影響的是全球幾乎所有的互聯網企業。”前述搜索引擎工程師對《財經》E法表示。

美國網絡安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency，下稱CISA)局長簡·伊斯特利（Jen Easterly）在美國時間19日發表的一份聲明中稱：“要明確的是，這個漏洞構成嚴重風險。”

12月24日，阿里的合作方石基信息在互動平臺回應“阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位，對公司是否有影響”時表示，目前阿里云已經解決了相關技術問題，“此事件亦不會對公司國內開發的使用阿里云的產品產生顯著影響”。

2021年9月1日，為落實《網絡產品安全漏洞管理規定》（下稱《規定》）有關要求，工信部網絡安全管理局組織建設的網絡安全威脅和漏洞信息共享平臺正式上線運行。

《規定》第七條第二項要求，網絡產品提供者“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等”。

對外經濟貿易大學數字經濟與法律創新研究中心主任許可指出，如果阿里云此次是自己的產品和服務中存在漏洞，應按照上述規定進行處理；但若并非自己的產品或服務，目前相關規定仍需進一步完善。

許可進一步指出，阿里云這一次被暫停相關共享資質“算不上行政處罰，只是一個軟法規制”。他表示，《網絡安全法》第三十九條對于網絡安全信息的共享問題做出過規定，但相關制度并未得到落實。在剛剛生效的《數據安全法》第二十二條提出，“國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制”。

“如果要建立起這樣一種安全機制，就應當去報送相應信息安全方面的材料。但在《網絡安全法》和《數據安全法》中，都沒有對于相關風險信息、安全信息的報送和共享制訂明確的規則。”許可指出，除了這兩部法律，在工信部近日起草的《工業和信息化領域數據安全風險信息報送與共享工作指引（試行）》稿中，對于相關的安全風險信息的報送和共享也提出了相應要求，但現在仍處于征求意見稿階段。

“所以，對這一問題現在仍沒有特別明確的法律程序和具體操作指引。此次阿里云事件，反映出信息安全信息共享的相關立法還有待進一步完善。”許可總結。

世輝律師事務所合伙人王新銳則認為，根據前述《規定》及工信部2017年公布的《公共互聯網網絡安全威脅監測與處置辦法》中第六條“相關專業機構、基礎電信企業、網絡安全企業、互聯網企業、域名注冊管理和服務機構等監測發現網絡安全威脅后，屬于本單位自身問題的，應當立即進行處置，涉及其他主體的，應當及時將有關信息按照規定的內容要素和格式提交至工業和信息化部和相關省、自治區、直轄市通信管理局”的規定，阿里云有義務報告這一漏洞。

“根據工信部網絡安全管理局的通報，阿里云發現阿帕奇Log4j2組件存在遠程代碼執行漏洞。不論是在其自身的產品中涉及這一組件，還是在研發中發現這一組件存在漏洞，都有向工業和信息化部建立網絡安全威脅信息共享平臺報告的義務。尤其是，阿里云還是該共享平臺的合作單位。”王新銳介紹。

但王新銳也指出，從這次通報的情況即“暫停作為合作單位6個月，期滿繼續恢復”這一角度來看，這并非是依據Log4j2漏洞對其作出的行政處罰，所以也要判斷阿里云“是否作為產品提供者而發現的這一漏洞”。

“阿里云這次若是在自身產品中用到了這個組件，其上報的義務就比較高；若不是，那根據目前法律規定，只是鼓勵上報，沒有強制，”王新銳總結，“當然，這主要還是基于對公開信息的分析。考慮到這一漏洞的綜合評級是“高危”，及時向境內主管機構報告，是《網絡安全法》及其配套規則的應有之意。”

業內普遍認為，此次規制是監管方對國內網絡安全界的一次警示。

“仔細想想，處罰得并不重，沒有徹底把阿里云剔出‘網絡安全威脅信息共享平臺合作單位’，只是暫停6個月；也沒有對個人進行行政處罰或警告。”前述搜索引擎工程師表示，“但這無疑是一次警告，讓所有從業者心中有規則，做事不逾矩。”

關鍵詞： 阿里云 漏洞 組件 工信部 log4j2 java 財經 信息 apache 阿帕奇