未及时报告Log4j2严重漏洞 阿里云被暂停工信部网

近日，工业和信息化部网络安全管理局发布消息，就阿里云公司在处理阿帕奇Log4j2组件的安全漏洞问题上出现疏忽进行了处理。阿里云，作为国内云计算领域的领军企业，被发现发现了阿帕奇Log4j2组件存在的远程代码执行漏洞后，却没有及时向电信主管部门报告，未能有效支撑工信部开展网络安全威胁和漏洞管理。鉴于此，工信部决定暂停阿里云公司作为其网络安全威胁信息共享平台的合作单位长达六个月。

这一事件源于本月阿里云计算有限公司对Java日志库的阿帕奇ApacheLog4j2组件的漏洞发现。该漏洞被编号为CVE-2021-45046，是一种远程代码执行漏洞。阿里云计算有限公司在发现此漏洞后，及时通知了阿帕奇软件基金会。阿帕奇Log4j2组件是一个基于Java语言的开源日志框架，广泛应用于业务系统开发，因此这一漏洞的严重性不容小觑。

工业和信息化部在得知这一消息后，立即组织网络安全专业机构进行漏洞风险分析，并召集阿里云、网络安全企业、网络安全专业机构等展开研讨。工信部督促阿帕奇软件基金会尽快修复该漏洞，并向行业单位发出风险预警。这一重大安全漏洞可能导致设备远程受控，引发敏感信息窃取、设备服务中断等严重危害。

作为企业和公众，我们需要保持警惕。网络安全管理局已经发布了提示，提醒有关单位和公众密切关注阿帕奇Log4j2组件的漏洞补丁发布，并对自有相关系统的阿帕奇Log4j2组件使用情况进行排查。为了降低网络安全风险，我们必须及时升级组件版本，确保我们的系统和网络不受此漏洞的影响。

此次事件也给我们敲响了警钟，无论是云计算企业还是其他网络相关单位，我们都应该加强网络安全意识，及时发现并报告网络安全漏洞，共同维护网络空间的安全稳定。阿里云作为云计算领域的领军企业，更应该起到表率作用，加强自身的网络安全建设，为其他企业提供良好的示范。我们也期待阿帕奇软件基金会能够尽快修复这一漏洞，确保全球用户的网络安全。