阿里云因未及時通報 Log4j2 漏洞被處罰

Apache Java 日志框架 Log4j2 曝出的嚴重漏洞影響了無數應用和服務，而發現該漏洞的阿里云因未及時向工信部通報漏洞被“暫停阿里云公司作為工信部網絡安全威脅信息共享平臺合作單位 6 個月。暫停期滿后，根據阿里云公司整改情況，研究恢復其上述合作單位”。阿里云是在 11 月 24 日向 Apache 報告了漏洞，而工信部網絡安全威脅和漏洞信息共享平臺直到 12 月 9 日才收到 Log4j2 相關的報告，12 月 17 日工信部通報稱，該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。