乐视视频云服务器让阿里云被“打入冷宫”的“ApacheLog4j2漏洞”究竟为何物？风口财经专访360网安专家

手机登陆阿里云服务器

风口财经记者 吕华

香港云服务器太卡

近日，工信部网络安全管理局通报称，阿里云计算有限公司(以下简称阿里云)在发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，工信部网络安全管理局决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

据了解，阿里云团队成员发现的阿帕奇Log4j2组件重大安全漏洞可能是计算机历史上最大的漏洞，根据相关规定，网络产品提供者应当在2日内向工信部报送相关漏洞信息，而工信部12月9日发现上述漏洞时距阿里云首次发现已经过去15天。

此次事件的起因Apache Log4j2漏洞究竟为何物？为此，风口财经专访了为此次漏洞事件提供解决方案的360进行全面解答。

早在11月24日，阿里云团队成员就发现了阿帕奇Log4j2组件重大安全漏洞。但阿里云发现问题后的第一反应不是向中国工信部通报相关信息，而是先向美国的阿帕奇软件基金会披露了该漏洞。

阿里云报告给国外后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工信部报送相关漏洞信息，而工信部12月9日发现上述漏洞，距阿里云首次发现已经过去15天。

工信部通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

风口财经记者注意到，12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。随后，工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

如何租赁阿里云服务器

12月17日，工信部发布关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

阿帕奇Log4j2组件重大安全漏洞可能是计算机历史上最大的漏洞。

记者从360处获悉， Log4j是Apache旗下一个基于Java的日志记录工具，被广泛地应用于各种常见的Web服务中，90%以上基于java开发的应用平台都直接或间接使用到了该工具，而Log4j 2是Log4j的2.0版本。

此次发现的Apache Log4j 2漏洞（编号：CVE-2021-44228），是一个远程执行漏洞（RCE:remote command/code execute），能够直接在被攻击设备上执行代码，进而控制这台设备，属于威胁程度最高的一类漏洞。利用这个漏洞，攻击者可以控制这些受漏洞影响的设备，比如窃取数据，投递勒索病毒、挖矿木马等，因此危害巨大。

360漏洞云安全专家研判对漏洞影响面作出了全面分析，从使用量全球Top5的统计表中可以看出，Java开发语言的使用量第一名是美国，第二名是中国，且中美的使用量几乎持平，而在国内Java开发的组件的部署量重点地区是北京市、广东省、浙江省、上海市以及香港特别行政区。

综上，专家根据 Log4j2本身的使用量、影响量，再根据Java语言开发的产品组件的全球分布和国内分布，可大致推算出本次Log4j2漏洞在全球影响最大的地区是中国和美国，在国内需要着重关注的地区是 北京、上海、广东、浙江、香港。

此外，专家表示，由于此次漏洞组件属于Java产品的基础组件，漏洞影响面覆盖全行业。凡是使用了Java作为开发语言研发产品的企业，或者使用了Java语言开发的产品的企业，企业内部均需要自查自身的安全隐患。

针对此次漏洞事件，360政企安全集团紧急预警并成立应急事件小组研究相关对策，360在获知这个漏洞信息后，第一时间对全业务的服务程序进行了排查，优先对互联网服务的业务进行修复，再逐步排查内部系统等项目，目前已经基本完成了全业务的修复。 经360漏洞云安全专家研判，该漏洞还影响很多全球使用量的Top序列的通用开源组件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。该漏洞利用方式简单，危害严重。目前，官方已经发布该产品的最新版本，建议用户尽快升级组件，修复缓解该漏洞。

阿里云服务器配置要求