通信人家园

标题: 阿里云内部出第五纵队了？ [查看完整版帖子] [打印本页]

时间: 2021-12-22 12:03

作者: 云中云 标题: 阿里云内部出第五纵队了？

提示: 作者被禁止或删除内容自动屏蔽

时间: 2021-12-22 12:05

作者: 云中云

提示: 作者被禁止或删除内容自动屏蔽

时间: 2021-12-22 12:12

作者: mryuri

云中云发表于 2021-12-22 12:05
通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向 ...

莫名其妙...用了Apache组件肯定找源码单位的问题啊.

时间: 2021-12-22 13:11

作者: 没事来看看

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

最好的结局就是剥离出来，和阿里和马云做切割

时间: 2021-12-22 13:40

作者: oooooooo

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

你发现你家大门锁不上了，你是先找卖门的还是先换个锁

时间: 2021-12-22 13:46

作者: bucmllj

泰山会成员都是代理人。代表美帝利益。战争时候就是带路党和汉奸。太多核心的中大安全的东西被他们弄走了

时间: 2021-12-22 13:55

作者: dadaoduxing

根据网络安全管理法规，要第一时间向主管部门上报的。

时间: 2021-12-22 13:55

作者: dadaoduxing

dadaoduxing 发表于 2021-12-22 13:55
根据网络安全管理法规，要第一时间向主管部门上报的。

比较奇怪，阿里云应该是老江湖了，怎么会犯这种错？

时间: 2021-12-22 14:06

作者: mryuri

oooooooo 发表于 2021-12-22 13:40
你发现你家大门锁不上了，你是先找卖门的还是先换个锁

o8，你能类比成这样确实服气，本质上是按照别人的图纸做了扇门，发现别人的图纸有安全隐患，联系到设计者才对吧。
要上报到造门协会主席让其他人别用这个图纸么？

时间: 2021-12-22 14:40

作者: cookil

没帮国家利用这个漏洞

时间: 2021-12-22 14:50

作者: 大肉包

cookil 发表于 2021-12-22 14:40
没帮国家利用这个漏洞

你这个解释…
不知道该说对错

时间: 2021-12-22 15:09

作者: ghost_diy

大肉包发表于 2021-12-22 14:50
你这个解释…
不知道该说对错

时间: 2021-12-22 15:23

作者: oooooooo

mryuri 发表于 2021-12-22 14:06
o8，你能类比成这样确实服气，本质上是按照别人的图纸做了扇门，发现别人的图纸有安全隐患，联系到设计者 ...

棒子，做门的也是有组织的，你发现有安全隐患不按规定通知组织，置广大用户安全于不顾，难道不该处罚？

时间: 2021-12-22 15:51

作者: shuijiao

搞就搞彻底一点让阿里彻底消失

时间: 2021-12-22 16:02

作者: Ray2003

云中云发表于 2021-12-22 12:05
通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向 ...

《网络产品安全漏洞管理规定》要求“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”。阿里云11月24日发现这个网络安全漏洞，工信部12月9日工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，才知道这个事情。阿里云发现这个漏洞报告Apache基金会没有问题，《网络产品安全漏洞管理规定》也要求发现者“应当立即通知相关产品提供者”，问题是上是阿里云并没有给工信部报告这个网络安全漏洞

时间: 2021-12-22 16:07

作者: Ray2003

cookil 发表于 2021-12-22 14:40
没帮国家利用这个漏洞

错了，中国还没有美国那么阴暗。
《网络产品安全漏洞管理规定》要求发现者“应当立即通知相关产品提供者”，“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”。阿里云11月24日发现漏洞，自始至终都没有向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息

时间: 2021-12-22 16:44

作者: dadaoduxing

Ray2003 发表于 2021-12-22 16:07
错了，中国还没有美国那么阴暗。
《网络产品安全漏洞管理规定》要求发现者“应当立即通知相关产品提供者 ...

不知道为啥，他们对这块应该非常了解的，尤其是这么重大的漏洞

时间: 2021-12-22 16:46

作者: Dnue

本帖最后由 Dnue 于 2021-12-22 16:48 编辑

搞完联想搞阿里，反正都是政治正确，玩火自焚

时间: 2021-12-22 17:02

作者: oooooooo

Dnue 发表于 2021-12-22 16:46
搞完联想搞阿里，反正都是政治正确，玩火自焚

难道不应该处罚吗？怎么就给上升到这种高度了？

时间: 2021-12-22 17:05

作者: 8678137

oooooooo 发表于 2021-12-22 13:40
你发现你家大门锁不上了，你是先找卖门的还是先换个锁

我是三好学生，先报警然后，找开锁的，再找厂家。

时间: 2021-12-22 17:07

作者: oooooooo

8678137 发表于 2021-12-22 17:05
我是三好学生，先报警然后，找开锁的，再找厂家。

锁不上了你找开锁的干啥？

时间: 2021-12-22 17:18

作者: founderate

dadaoduxing 发表于 2021-12-22 13:55
比较奇怪，阿里云应该是老江湖了，怎么会犯这种错？

这就是吃里扒外，可耻的买办

时间: 2021-12-22 17:27

作者: coffee198375

阿里胆子肥了。。。。

时间: 2021-12-22 19:43

作者: Vortex

mryuri 发表于 2021-12-22 14:06
o8，你能类比成这样确实服气，本质上是按照别人的图纸做了扇门，发现别人的图纸有安全隐患，联系到设计者 ...

呕八笑死我

时间: 2021-12-22 20:44

作者: xuqz

原则问题

时间: 2021-12-22 20:45

作者: xuqz

xuqz 发表于 2021-12-22 20:44
原则问题

有意为之，就是坏透了

时间: 2021-12-23 08:25

作者: 六韬三略

提示: 作者被禁止或删除内容自动屏蔽

时间: 2021-12-23 09:13

作者: jack1738

搞阿里是ZZ正确的事情。

时间: 2021-12-23 09:18

作者: ttcha

阿里明显立功了，看下阿里帮谁顶缸就知道了

时间: 2021-12-23 09:25

作者: ttcha

阿里云团队发现该漏洞后，就在微博上提到团队有重要发现，但有信息安全管理法案的影响，后续才能报道具体内容。
后续比较诡异的是，国外政府和机构报道受到通过该漏洞的网络攻击

时间: 2021-12-23 09:40

作者: hxtony

本帖最后由 hxtony 于 2021-12-23 09:41 编辑

8678137 发表于 2021-12-22 17:05
我是三好学生，先报警然后，找开锁的，再找厂家。

时间: 2021-12-23 09:44

作者: zhaocq

这几个月对他们的损失有多大？

时间: 2021-12-23 09:54

作者: lennonlife

打个比方，阿里云做的是小区大门，发现门锁有问题有隐患且不能立刻解决，在联系修锁的同时，应该第一时间告诉业主（或者业委会），可是他没有，是业主自己发现的，所以被业委会暂停合作或者炒他鱿鱼，合情合理。

时间: 2021-12-23 10:49

作者: huangl23

没发现多好

时间: 2021-12-23 10:54

作者: lrwpanda

报告给国外，国内不报告，是不是表示你不和国内一条心

时间: 2021-12-23 10:56

作者: xnwzp

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

这不是源码层面的问题了，是针织的问题，严重安全漏洞隐患避开工信部，说到底在决策人心底利益权衡出了本质的问题。

时间: 2021-12-23 10:57

作者: xnwzp

dadaoduxing 发表于 2021-12-22 13:55
比较奇怪，阿里云应该是老江湖了，怎么会犯这种错？

个人利益＞郭嘉利益的典型“范例”

时间: 2021-12-23 11:09

作者: cheers2011

恶心的zz

时间: 2021-12-23 11:14

作者: foxtang8

我很奇怪，难道作为的技术人员发现漏洞都是先报给国家工信部的？

时间: 2021-12-23 11:20

作者: oooooooo

cheers2011 发表于 2021-12-23 11:09
恶心的zz

跟zz有毛关系，违规了就要处罚

时间: 2021-12-23 11:21

作者: cheers2011

oooooooo 发表于 2021-12-23 11:20
跟zz有毛关系，违规了就要处罚

你的逻辑我无法赞同

时间: 2021-12-23 11:22

作者: oooooooo

foxtang8 发表于 2021-12-23 11:14
我很奇怪，难道作为的技术人员发现漏洞都是先报给国家工信部的？

如果只有自家用的产品用不着报，如果很多企业在用，报告大家长就很有必要

时间: 2021-12-23 11:23

作者: oooooooo

cheers2011 发表于 2021-12-23 11:21
你的逻辑我无法赞同

只就事论事，阿里云有没有违规？

时间: 2021-12-23 11:25

作者: huangl23

孩子打不过，家长上呗

时间: 2021-12-23 11:48

作者: cheers2011

oooooooo 发表于 2021-12-23 11:23
只就事论事，阿里云有没有违规？

再辩下去又封楼了。你这个逻辑是zz挂帅，我正相反

时间: 2021-12-23 11:51

作者: oooooooo

cheers2011 发表于 2021-12-23 11:48
再辩下去又封楼了。你这个逻辑是zz挂帅，我正相反

是你在zz挂帅吧？我只是就事论事，主张犯了错要认罚，你的锅怎么甩我头上来了？

时间: 2021-12-23 12:09

作者: cheers2011

oooooooo 发表于 2021-12-23 11:51
是你在zz挂帅吧？我只是就事论事，主张犯了错要认罚，你的锅怎么甩我头上来了？

你容易犯怒吗？恕不奉陪。我的论点不包含zz

时间: 2021-12-23 12:26

作者: 飞翔的湖南人

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

吃里扒外的人真多，还有三个人点赞

时间: 2021-12-23 12:28

作者: 为别人打工的人

这不能怪基层，是领导层的问题

时间: 2021-12-23 12:41

作者: bluegj

foxtang8 发表于 2021-12-23 11:14
我很奇怪，难道作为的技术人员发现漏洞都是先报给国家工信部的？

没有说要先报告给工信部，也没阻止你向其他人报告，只是要求2天内报告给工信部

时间: 2021-12-23 13:30

作者: dimao_dimoo

oooooooo 发表于 2021-12-22 13:40
你发现你家大门锁不上了，你是先找卖门的还是先换个锁

我觉得比喻应该是，你发现你家的这款锁子能被任何人随意打开，你要不要通告官方管理机构，还是只告诉锁子厂家

时间: 2021-12-23 13:38

作者: qkb_75@163.com

坚决拥护政府的！

时间: 2021-12-23 13:40

作者: c269992508

就是没有第一时间上报国家损害国家利益了

时间: 2021-12-23 13:46

作者: oooooooo

cheers2011 发表于 2021-12-23 12:09
你容易犯怒吗？恕不奉陪。我的论点不包含zz

你看看38楼

时间: 2021-12-23 14:00

作者: 79101607

第五纵队是个褒义词

时间: 2021-12-23 14:01

作者: moonsharp

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

以前没有网络安全的规定，你去按这种操作，但是现在国家已经规定了怎么做，还有法律法规支撑，自己本身还是这个平台成员，这么操作肯定不行了啊

时间: 2021-12-23 14:03

作者: moonsharp

Dnue 发表于 2021-12-22 16:46
搞完联想搞阿里，反正都是政治正确，玩火自焚

这两家扯不到一起，性质完全不一样。。

时间: 2021-12-23 14:06

作者: moonsharp

dadaoduxing 发表于 2021-12-22 13:55
比较奇怪，阿里云应该是老江湖了，怎么会犯这种错？

沉浸在互联网无国界的理想中没有出来

时间: 2021-12-23 14:23

作者: 天行健168

云中云发表于 2021-12-22 12:05
通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向 ...

那个观察者网是什么？它的话可信度≈0

时间: 2021-12-23 14:26

作者: oooooooo

天行健168 发表于 2021-12-23 14:23
那个观察者网是什么？它的话可信度≈0

给介绍几个可信度高的媒体，我去看看

时间: 2021-12-23 14:30

作者: 天行健168

oooooooo 发表于 2021-12-23 14:26
给介绍几个可信度高的媒体，我去看看

你？也就看看七点半吧

时间: 2021-12-23 15:25

作者: hbe01563jp

oooooooo 发表于 2021-12-22 17:07
锁不上了你找开锁的干啥？

知道的有点晚，你们这几层真的承包了我今日的笑料~总而言之，该罚，而且有理有据~

时间: 2021-12-23 15:42

作者: 小松鼠爱吃鱼

9.1刚立法就踩，不玩你玩谁？

时间: 2021-12-23 15:44

作者: 小松鼠爱吃鱼

9.1刚理发了，这边就准备踩不玩你玩谁？

时间: 2021-12-23 16:47

作者: njuwysy

网络安全压倒一切，爱国压倒一切，越解释越黑

时间: 2021-12-23 17:39

作者: 为别人打工的人

规则是要遵守的

时间: 2021-12-23 18:42

作者: 云中云

提示: 作者被禁止或删除内容自动屏蔽

时间: 2021-12-23 19:41

作者: sjyxiaowu

折腾？

时间: 2021-12-23 20:51

作者: lovebugzhang

有一说一，这应该和政治无关，可能是大公司病又犯了，法务和做拧螺丝的两拨人信息没能对等，然后又因为不涉及KPI，所以也没人关心

时间: 2021-12-24 08:38

作者: kkerter

政企市场能有多大，顶多不要了

时间: 2021-12-24 10:14

作者: rible

kkerter 发表于 2021-12-24 08:38
政企市场能有多大，顶多不要了

个人用户能有多少收入？

时间: 2021-12-24 11:00

作者: kkerter

rible 发表于 2021-12-24 10:14
个人用户能有多少收入？

就是不用国企业务了呗，私人企业该用还是用

时间: 2021-12-24 11:18

作者: foxtang8

微软发现了个漏洞，没有上报给美国国防部，被美国处罚了政府不采购微软，我们点不点赞，说美国政府英明？如果都觉得美国政府做的对，那就对

时间: 2021-12-24 11:35

作者: tjubis

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

做生意第一就是要依法合规。现在结果已经明摆着了，只从纯技术视角去辩论有啥用，你说了又不算。

时间: 2021-12-24 15:11

作者: vx1

说明硬杠国家嘛，胆子大，不怕死！

时间: 2021-12-24 17:12

作者: Andy123h

mryuri 发表于 2021-12-22 12:12
莫名其妙...用了Apache组件肯定找源码单位的问题啊.

首先，国家并没有说不可以向源码单位反馈问题解决问题，而是说没有及时向国家反馈。也就是说先报了源码单位，然后及时报给国家部门也是可以的（好像相关规定是2天内）。关键的问题是，阿里将相关问题报出去之后，这个漏洞相当于就公开了，这时候有很多即使之前不知道这个漏洞的人也可以借着它做一些事情了。。。而国家相关部门是过了半个月才从外部知道这件事。所以这其中有很大问题，首先是阿里为啥没有第一时间报给相关部门，其次源码单位也没有及时预报风险（可能也有修补的考量）。很多的系统相当于裸奔在外面，而且是一个公开的漏洞。有些人说多做多错，根本不是这样一回事，而是就是做错了。阿里的声明完全看不出认错的态度，感觉对方的公关、法务存在极大的问题。

时间: 2021-12-25 09:05

作者: mxxmzmx

技术硬，也要按照制度来。

时间: 2021-12-25 22:36

作者: cztl10

总感觉事情不是明面上那样的
因为我感觉阿里无论实际是怎么做的,明面上如果是同时报给国家和阿帕奇这个组织,好像影响也不太好

时间: 2021-12-26 19:48

作者: rible

kkerter 发表于 2021-12-24 11:00
就是不用国企业务了呗，私人企业该用还是用

工信部不是只管国企。。。你怕不是弄错了吧？另外，私企也不能接受阿里这么处理啊。

时间: 2021-12-26 19:49

作者: rible

cztl10 发表于 2021-12-25 22:36
总感觉事情不是明面上那样的
因为我感觉阿里无论实际是怎么做的,明面上如果是同时报给国家和阿帕奇这个组织 ...

双报才是常规操作，没啥影响不太好的。单向操作才不可思议。

时间: 2021-12-27 15:03

作者: 君子米

知道了

时间: 2021-12-27 23:24

作者: cztl10

rible 发表于 2021-12-26 19:49
双报才是常规操作，没啥影响不太好的。单向操作才不可思议。

感觉像在演戏

时间: 2021-12-29 10:16

作者: 为别人打工的人

时间: 2021-12-29 15:18

作者: 天风之澜

第五纵队起码是潜伏的，阿里这个明目张胆的支棱起来了。

时间: 2021-12-30 01:29

作者: 小宇_2626

mryuri 发表于 2021-12-22 14:06:25 o8，你能类比成这样确实服气，本质上是按照别人的图纸做了扇门，发现别人的图纸有安全隐患，联系到设计者...

家里人已经有很多人在用了，你通知了制造商不该在提醒提醒家里人吗？？？而且没有不让你报告给制造商，你咋这么能杠呢

时间: 2021-12-30 01:32

作者: 小宇_2626

oooooooo 发表于 2021-12-22 17:02:41 难道不应该处罚吗？怎么就给上升到这种高度了？

这种人我看了只要跟国家沾边的话题就在发阴谋论，不知道受什么打击了

时间: 2021-12-30 01:36

作者: 小宇_2626

cheers2011 发表于 2021-12-23 11:09:35 恶心的zz

恶心的中立人

时间: 2021-12-30 16:49

作者: youyouran

云中云发表于 2021-12-22 12:05:48 通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患...

还不如工程师技术水平低一点，学学国资云，摸鱼就可以拿份额，多好。

时间: 2021-12-30 16:49

作者: youyouran

dadaoduxing 发表于 2021-12-22 13:55:50 比较奇怪，阿里云应该是老江湖了，怎么会犯这种错？

既然叫阿里，那这两年干啥都会犯错的。

时间: 2021-12-30 16:49

作者: youyouran

shuijiao 发表于 2021-12-22 15:51:26 搞就搞彻底一点让阿里彻底消失

是啊，钝刀子割肉，没意思。给个痛快吧

通信人家园 (https://www.txrjy.com/)