12月23日消息,工信部发布通报,相关公司在发现 Apache Log4j2 组件存在严重安全隐患后,未能及时向电信主管部门报告,未有效支撑工信部的网络安全威胁与漏洞管理工作。经研究,暂停该公司作为合作单位六个月。暂停期满后,将根据整改情况研究恢复合作。
该公司官方回应称,早期未意识到漏洞的严重性,未及时共享漏洞信息,表示将加强漏洞管理,提升合规意识,积极协同各方做好网络安全风险防范工作。
Log4j2 是 Apache 基金会旗下的开源日志组件,被全球企业与组织广泛应用于各种业务系统开发。
近日,一名开发人员发现 Log4j2 组件存在安全缺陷,按行业惯例向 Apache 社区报告这一问题以寻求帮助。Apache 社区确认这是一个安全漏洞,并发布修复补丁。随后,该漏洞被外界证实为全球性重大漏洞。
该公司因在早期未意识到漏洞的严重性,未及时共享漏洞信息,表示将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
IT 之家报道,本月该公司发现了 Java 日志库中的 Apache Log4j2 组件存在远程代码执行漏洞,并将漏洞情况告知 Apache 软件基金会。该组件基于 Java 语言,是广泛用于业务系统开发的开源日志框架,漏洞编号为 CVE-2021-45046。
12 月 17 日,工业和信息化部网络安全管理局发布关于 Apache Log4j2 组件重大安全漏洞的网络安全风险提示。官方表示,12 月 9 日收到有关机构报告,称该组件存在严重漏洞。工信部立即组织相关机构开展漏洞风险分析,召集相关企业与机构开展研判,敦促 Apache 基金会及时修补漏洞,并向行业单位发出风险预警。
