TOR:羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!_Prospectors Gold

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

奢侈品街頭服飾公司Les Benjamins宣布與Kalder合作推出LB代幣:金色財經報道，奢侈品街頭服飾公司 Les Benjamins 宣布與 Kalder 合作推出了 Flying Carpet Crew。該計劃允許被稱為 Carpet Weavers 的會員專享 VIP 活動。其中包括快閃店和時裝秀。值得注意的是，Carpet Weavers 可以通過完成諸如在社交媒體上發帖、在 Les Benjamins 活動中掃描 QR 碼以及在直播期間收集 POAP 等任務來賺取獨家 LB 代幣。

社區可以通過多種方式使用他們的 LB 代幣。其中包括安全訪問活動、限量版服裝，甚至直接與 Les Benjamins 團隊合作。[2023/5/4 14:41:25]

什么是阿帕奇Log4j2組件漏洞？

推特將通過與eToro合作讓用戶交易加密貨幣和股票等金融資產:金色財經報道，推特將通過與多資產投資平臺 eToro 合作，讓用戶訪問股票、加密貨幣和其他金融資產。eToro 表示，從周四開始，Twitter 應用程序將推出一系列新功能：用戶可以查看市場圖表；從 eToro 買賣股票和其他資產；并查看更多金融工具的市場數據。

eToro 發言人表示，通過與 eToro 的合作，Twitter 的現金標簽將擴大到涵蓋更多的工具和資產類別。用戶還可以點擊一個查看 eToro的按鈕，進入 eToro 的網站，然后在其平臺上買賣資產。eToro 使用 TradingView 作為其市場數據合作伙伴。[2023/4/13 14:01:25]

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

StarkWare創始人：一筆交易可以產生6000萬個NFT:金色財經報道，零知識（ZK）匯總技術公司StarkWare創始人Eli Ben-Sasson表示，其新的遞歸有效性證明理論上可以在以太坊區塊鏈上匯總多達6000萬筆交易。此前他在一次演講中宣布開始生產 StarkWare的新遞歸有效性證明技術。

與標準Validium擴展相比，遞歸有效性證明可以進一步將交易吞吐量擴展至至少10倍，并指出他們已經在市場上擁有 600,000 枚NFT。我們至少可以達到600萬，而且這是在短期內。這是一件很容易做到的事情。Ben-Sasson還補充說，通過更多的工程和調整，這個數字可能會上升到6000萬，并補充說：我認為也很有可能將延遲再降低5到10倍。[2022/8/8 12:09:42]

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

外媒：英偉達最新顯卡驅動重新啟用挖礦限制程序:5月26日消息，在安裝英偉達最新的512.95驅動程序后，所有基于Windows的挖礦軟件都將恢復到被限制后的哈希率。報道稱這并沒有什么用，因為礦工可以重新裝回以前的512.77驅動程序，實現滿速挖礦。

據報道，YouTube用戶Juliano Caju確認了512.95驅動自帶挖礦鎖。他的RTX 3060卡使被限制為25 MH / s ETH哈希率，而此前破解后的哈希率為46 MH / s。

此前5月初消息，算力經紀商Nicehash新軟件已支持解鎖Nvidia顯卡的加密挖礦限制。（Videocardz）[2022/5/26 3:43:02]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

游戲驛站漲超13%:金色財經報道，數據顯示，游戲驛站(GME.US)漲超13%，報101.105美元。該公司周一表示，將為NFT和加密貨幣推出數字錢包。公司將其新錢包描述為自我托管的以太坊錢包。該錢包的網絡瀏覽器擴展插件可以從Chrome Web Store下載。[2022/5/26 3:41:58]

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

阿里云為什么要被整改？

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇TOROROETO阿帕奇幣2022年沒有消息嘛Prospectors GoldOROSMETOO

Uniswap