阿里云針對“計算機史上最大漏洞”發(fā)布說明：早期未意識到漏洞嚴重性

中華網財經12月23日訊，今日，阿里云發(fā)布關于開源社區(qū)Apache log4j2漏洞情況的說明。

阿里云表示，Log4j2 是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應用于各種業(yè)務系統(tǒng)開發(fā)。

近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認這是一個安全漏洞，并向全球發(fā)布修復補丁。

隨后，該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里云將強化漏洞管理、提升合規(guī)意識，積極協(xié)同各方做好網絡安全風險防范工作。

有網絡安全專家認為，該漏洞潛在危害極大，可能是“計算機史上最大漏洞”。

因為存在于Java日志框架的Log4j，被廣泛應用于各種應用程序和網絡服備，幾乎每個網絡安全系統(tǒng)都會利用一些日志框架進行紀錄，Log4j一旦出現(xiàn)漏洞 ，影響范圍，將是世界級的，截止目前，包括蘋果、三星、steam、亞馬遜河推特等在內的巨頭皆受到攻擊或潛在攻擊風險。

阿里云團隊提交該漏洞后，Apache軟件基金會已將這一漏洞的業(yè)重性列為最高的10級，網安公司Tenable相關負責人直言，Log4Shell是“過去十年內最大也是最關鍵的單一漏洞”。

工信部：暫停阿里云合作單位資格6個月

12月22日，工信部網絡安全管理局通報稱，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。目前暫停阿里云公司作為上述合作單位 6個月。暫停期滿后，根據(jù)阿里云的整改情況，研究恢復其上述合作單位。

2021年12月17日，網絡安全管理局表示，該漏洞可能會導致設備遠程受控，進而引發(fā)敏感信息竊取。

云市場份額排名第一

根據(jù)信通院數(shù)據(jù)，2020 年我國云計算市場規(guī)模達2091億元，預計2025年將達到6000億元，其中以阿里巴巴（阿里云）、騰訊（騰訊云）、華為（華為云）為代表的企業(yè)處于領先地位。另外，據(jù)IDC數(shù)據(jù)，阿里云在工業(yè)云市場、數(shù)字政府市場、金融云市場均排名市場第一。

Canalys發(fā)布中國云計算市場2021年第三季度報告顯示，阿里云、華為云、騰訊云和百度云占據(jù)第一梯隊，其中阿里云市場份額排名第一，份額為38.3%，華為云為17%，騰訊云為16.6%，百度云為8.2%。

根據(jù)阿里巴巴集團財報顯示，2021財年（2020年4月1日至2021年3月31日跨年度），阿里云營收達601億元，比上一財年400億元收入大幅增長50%，在阿里集團財年總營收7173億元總營收比例為8.38%。600億元總收入，超過多數(shù)互聯(lián)網上市公司年度總收入。

12月22日，阿里巴巴港股開盤下跌，截至收盤跌幅5.14%。

今日，阿里巴巴港股報收113.3港元，跌幅1.39%，市值2.46萬億。

關鍵詞： 阿里云 漏洞