アリババ子会社「Log4j2の脆弱性見つけた!中国当局より先に開発者に知らせなきゃ!」→ [278920519]
■ このスレッドは過去ログ倉庫に格納されています
中国の規制当局は22日、電子商取引(EC)大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止した。サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。
21世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「Apache Log4j2」の脆弱性を中国当局に直ちに報告しなかった。
これを受けて同省は、サイバーセキュリティーの脅威や情報共有プラットフォームに関する阿里雲との協力パートナーシップを一時停止するとともに、6カ月後に再評価し、同社の内部改革に応じて復活させることにしたという。
https://jp.reuters.com/article/china-alibaba-idJPKBN2J10DD 阿里雲のセキュリティチームは、11月24日にLog4jの脆弱性メールをApacheソフトウェア財団に提出したにもかかわらず、
工業情報化部が上記脆弱性の報告を受けたのは、阿里雲が最初に発見してから2週間後の12月9日のことです。
めっちゃ遅くなったんじゃん、本当に報告する気あるの? 今年9月1日に施行された工業情報化部、公安部が共同で発表した「ネットワーク製品セキュリティ脆弱性管理規定」によると、
ネットワーク製品提供者は脆弱性を発見してから2日以内に工業情報化部に報告し、
速やかにパッチを実施し、影響を受ける可能性がある製品のユーザーにパッチの方法を通知しなければならないという。
そりゃあ罰せられるわ >>6
一時間とかなら解らんでもないけど2Wは遅すぎる
というかこれはメンツ潰されただけの報復措置やな >>5
うーん
責任は開発側じゃね
普通は対応すると思うじゃん 世界中で普及している製品 ゼロデイ脆弱性 中国共産党
この組み合わせ第三次大戦のトリガーだろ
発見者の良識のおかげで世界救われたんじゃね 開発元が脆弱性と判断してから連絡するつもりだったんじゃないかな
そうじゃないと虚偽の報告となって罰せられるでしょ
それと天秤にかけて判断した結果だと思う >>5
12/10がCVE発行された日だから公表される直前まで待ってたんだ思う
まともな対応したのに処分されてアリババ可哀想… 中国の若者は、マジで早く習体制を倒さないと、大好きなエンタメも失われるぞ ■ このスレッドは過去ログ倉庫に格納されています
