阿里云事件,很多人其实不知道,这是个大事。 11月24日,阿里云发现一个漏洞—— 全世界广泛使用的服务器Apache(阿帕奇)开源项目log4j日志组件中存在致命漏洞。 该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。 也就是说,这个漏洞一旦被攻击者利用,哪怕这个攻击者是普通的小白,都可以轻而易举地攻入目标服务器,获取最高权限,窃取或控制服务器。 然而,在阿里云发现如此重大的隐患后,却没有第一时间上报工信部等主管部门,而是选择将这个漏洞先告诉了国外机构,工信部完全被蒙在鼓里。 直到外国机构公布这一事项时,我国相关部门才知晓此事,经彻查最终确定这一重大漏洞的发现者居然是阿里云。 有网友表示,阿里云早在半个月前就发现了这个「核弹级的漏洞」,但却一直没有上报给工信部。 这里,我们不免要问上一句:阿里云发现漏洞后第一时间报给国外软件开发方,可不可以? 首先,咱们的工信部没有说阿里云不能把漏洞先报给Apache,也没有要求说必须先报给自己,只是要求发现漏洞两天内上报就行。根据《网络产品安全漏洞管理规定》第七条规定,各企业发现安全漏洞后,应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。 报送内容应当包括,存在网络产品安全漏洞的产品名称、型号、版本,以及漏洞的技术特点、危害和影响范围等。并及时进行修补,将修补方式告知可能受影响的产品用户。 从这一点上来看,咱们的工信部还是很讲道理的,制定的规则完全合乎情理。 但规定里有一点可是明确了的,那就是一旦发现问题,需要在2日内上报。 然而,阿里云却把这事整整"捂"了半个月! 面对工信部的警示和疑问,阿里云却解释称是这是由于商业惯例,所以先向软件开发商请求帮助。 换句话说,也就是阿里云觉得自己的行为没有问题,并且在程序上应当先向外国的机构"发邮件"。 所以,这事究竟有没有小题大做? 讲到这里,那我们就得看本次阿里云发现的安全漏洞影响有多严重了。 据悉,安全公司奇安信已将本次Apache Log4j2漏洞的CERT风险等级定为"高危"。 奇安信描述称,Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。 而Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。 据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于java开发的应用平台都会受到影响。 有奇安信的安全专家表示,Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注,不仅在于其易于利用,更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件,它所带来的危害就像多米诺骨牌一样,影响深远。 简而言之,该漏洞算是这几年来最大的漏洞了。 这么一个大漏洞,被阿里云发现了,阿里云的技术可以说是非常厉害了。 但是整整15天内,中国的网络大门大开,几乎处于不设防的状态,一切都完全暴露,没人提醒没人管。 打个简单的比喻就是,家里的大门半个月没关,随便什么人一推就进来了,想拿啥就拿啥,怪不得高层震怒。 于是,12月22日,工信部发布通报,语气很严厉: 取消其网络安全威胁信息共享平台合作单位资格,立即整改6个月,处罚届满后将根据整改情况,研究其是否恢复资格。 事实上,这已经不是阿里云第一次出现安全问题了。 今年8月,一份浙江省通信管理局对投诉人的答复函自网络流出,称此前阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人向媒体确认了此事的真实性。 而从阿里云对本次漏洞事件的回应,我们不难看出,阿里云显然还没有意识到,工信部对于其警示的真正含义。 "罚停"并不是要追究谁的过错,真正的问题是我们国家的网络安全极为重要,阿里云作为绝对领先的科技巨头,应当认清企业应有的责任感和基本的国家安全意识。 希望在经历这次教训之后,阿里云能对自身的所作所为有所认识,这样才能在以后的发展道路上稳步前行。 END 经营证券期货业务许可证 统一社会信用代码(境外机构编号):91310109MA1G5BK839 免责声明:本文为个人观点,不代表本平台的观点或立场,不构成任何投资建议,不能作为您的投资依据,您需独立做出投资决策,风险自担。请您确认自己的具有相应的权利、行为能力、风险识别能力及风险承受能力,能够独立承担法律责任。以上部分内容和图片来源于网络,若存在作品、版权或其他内容侵权等问题,请联系删除。历史业绩不代表未来收益。投资有风险,入市需谨慎!
一加Nord2官宣首发天玑1200AI定制版!处理器还能这么玩?跑分风波似乎并没有影响到一加。近日,一加在海外也带来了新机OnePlusNord2。该机定位为中端,其搭载的处理器也很有意思。此前,也曾有消息称一加同样会在国内推出中端机型,所以一Reno6星黛紫即将开售配色绝美,加19。9还能抽限量版盲盒对当代的时尚青年来说,天天不离手的手机早已不只是单纯的工具。一款设计精美做工精致的手机还能同时担当起时尚单品的功能,凸显自己的审美和品位。而在这一点上,今夏的爆款手机OPPORen骁龙888都跑不满的60帧游戏,iQOONeo5为何能实现120帧?暑期一直都是一个换机的旺季,有不少准大学生在准备着自己上大学所需的电子产品,入手一款新手机自然是不容错过的。而在众多机型中,iQOONeo5在两千元价位段中成为了一大热门,是许多大最好看的紫色?OPPOReno6星黛紫即将开售,这颜值性能不圈粉才怪相信大家知道,紫色是一个比较难以驾驭的颜色,但对于紫色,各大手机厂商始终偏爱有加,其中最具代表性的莫过于OPPO,包括R15星空紫Reno4香芋紫都是其推出过的以紫色为主色调的机型严查滴滴!滴滴所有渠道被封,遭众打车平台落井下石抢市场最近估计滴滴公司的股东及高管们是食不知味夜不能寐吧。在滴滴违规被调查之际,滴滴面临着内忧外患,为何这么说,来我们细细看一下。首先,为什么说内忧,因为滴滴现在不能开疆扩土的吸收新用户国家市场管理总局ATMB垄断行为再次作出顶格处罚,包含22宗大案7月7日,国家市场监督管理总局再次出手,针对阿里腾讯美团滴滴苏宁等互联网大厂的垄断行为进行顶格处罚,每家处罚金50万元,这已经不是第一次针对上述公司的垄断行为实施处罚,2020年就滴滴下架,网约车平台跃跃欲试,新一轮补贴大战即将打响一鲸落,万物生。滴滴出行在被下架之后,最活跃的就是各大网约车平台,高德滴答一喂出行都开始了对乘客和车主的巨额补贴,为的就是在这个特殊时期尽可能多的抢占市场。而滴滴也开始改变以往的态HarmonyOS2升级用户数突破3000万封面新闻记者孟梅付文超7月8日,华为对外宣布,自6月2日发布HarmonyOS2后,历时一个多月,升级用户数已突破3000万。记者了解到,在EMUI11时期,华为实现升级用户数破千亿级像素方向没错!小米有可能全球首发两亿像素的相机近年来各大手机厂商发力最猛的就是相机,所以在这种趋势下,相机硬件有了巨大的进步,有媲美单反的超大底传感器,还有最高120X变焦的潜望式长焦镜头,以及超过一亿的像素等等这其中,亿级像理想汽车CEO大型社死现场诅咒脑子里都是汞为何引发众怒被誉为造车新势力的三驾马车蔚小理一直以来都以营销著称,而其营销基因自然来源于能说会道的三个创始人李斌,何小鹏以及李想。三个人的社交平台风格各有不同,李斌和何小鹏以凡尔赛著称,而李想方向排序皆学问!笔记本接口位置对体验有啥影响?细心的用户不难发现,随着笔记本进一步轻薄化,它们的外部扩展接口也随之减少,会对用户日常的使用造成一定的麻烦。本文,就让我们探讨一下笔记本接口位置对体验的影响吧。接口的位置既然谈到了