阿里云因未及时通报 Log4j2 漏洞被处罚

Apache Java 日志框架 Log4j2 曝出的严重漏洞影响了无数应用和服务，而发现该漏洞的阿里云因未及时向工信部通报漏洞被“暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位 6 个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位”。阿里云是在 11 月 24 日向 Apache 报告了漏洞，而工信部网络安全威胁和漏洞信息共享平台直到 12 月 9 日才收到 Log4j2 相关的报告，12 月 17 日工信部通报称，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。