#漏洞 #log4j #阿里云 #工信部 #消息人士

【阿里云被暂停工信部网络安全威胁信息共享平台合作单位】

南方财经全媒体记者独家获悉，‌近期，‌工业和信息化部网络安全管理局通报称，‌阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，‌阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，‌未及时向电信主管部门报告，‌未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，‌现暂停阿里云公司作为上述合作单位6个月。暂停期满后，‌根据阿里云公司整改情况，‌研究恢复其上述合作单位。(21世纪经济报道)

据了解，11月24日，阿里云安全团队曾向Apache官方报告了Apache Log4j2远程代码执行漏洞。但直到12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构报告。

《网络产品安全漏洞管理规定》规定：网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚；该规定2021年9月1日起施行。

#漏洞 #log4j #阿里云 #工信部

【阿里云：早期未意识到漏洞严重性，将提升合规意识】

12月23日，阿里云发布关于开源社区Apache log4j2漏洞情况的说明称，近日，‌阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，‌并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云表示，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。(阿里云 @微信)

业内普遍质疑阿里云的这次上报操作，使中国政府和企业陷入被动。根据美国国土安全部网络安全和基础设施安全局的声明，黑客从12月1日起，就在利用这一漏洞进行攻击。比利时国防部也对外确认，在12月16日发现有人利用该漏洞对其发起攻击，导致其部分网络瘫痪数日。据英国国家网络安全中心，该漏洞将影响全球数百万电脑，有可能是近年来最严重的网络安全漏洞。

12月22日，财新从各方证实，工信部暂停阿里云作为合作单位6个月，多位云计算人士告诉财新，这更像是一次警告，对阿里云业务的影响极为有限。(财新网)

相关新闻🔗
21-12-10 广泛使用的日志框架Log4j2 存在远程代码执行漏洞，影响大量组件
21-12-22 阿里云被暂停工信部网络安全威胁信息共享平台合作单位

#工信部 #APP #软件 #预置软件

【工信部：关于进一步规范移动智能终端应用软件预置行为的通告】

三、生产企业应确保除基本功能软件外的预置应用软件均可卸载，‌并提供安全便捷的卸载方式供用户选择。

四、基本功能软件限于以下范围：
（一）操作系统基本组件：系统设置、文件管理；
（二）保证智能终端硬件正常运行的应用：多媒体摄录；
（三）基本通信应用：接打电话、收发短信、通信录、浏览器；
（四）应用软件下载通道：应用商店。
实现同一基本功能的预置应用软件，‌至多有一个可设置为不可卸载。

五、生产企业应完善移动智能终端权限管理机制，‌提升操作系统安全性，采取技术措施预防在产品流通环节发生置换操作系统或安装应用软件的行为。

内详👉(工信部)

#工信部 #网页 #APP #强制下载

【工信部：规范APP推荐下载行为，改善网页浏览服务体验】

近日，‌有网友和媒体反映部分网站在用户浏览页面信息时，‌强制要求下载APP问题。工业和信息化部信息通信管理局对此高度重视，‌立即组织核查，‌并于日前召开行政指导会，‌督促相关互联网企业进行整改。...会议要求：

‌一是未经用户同意或主动选择，‌不得自动或强制下载APP；推荐下载APP时，‌应同步提供明显的“取消”选项，‌切实保障用户的知情权、选择权。

二是无合理正当理由，‌不得要求用户不下载APP就不给看，‌或者不让看全文。

三是不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP，‌或跳转至应用商店，‌影响用户正常浏览信息。(工信微报 @微信)