今天给各位分享阿里云服务器漏洞修复的知识,其中也会对导致阿里云被暂停合作的漏洞进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
一、阿里云服务器安全*怎么样有什么安全防护措施
大多用户在选购云服务器的时候首先考虑的就是阿里云服务器,不仅是因为阿里云服务器是国内知名度最高的云服务器品牌,还有一个重要原因就是阿里云服务器有一定的安全*保障吧。阿里云服务器本身自带一些安全防护措施。
1、免费开通云盾,提供网络安全、服务器安全等基础防护
DDoS基础防护:
提供最高 5G的 DDoS防护能力,可防御 SYN flood、UDP flood、ICMP flood、ACK flood常规 DDoS攻击。
2、服务器安全功能:安骑士
包含暴力密码拦截、*查杀、异地登录提醒、高危漏洞修复的防*功能
免费提供云监控,并支持多种实时预警
3、站点监控:
提供对 、ping、dns、tcp、udp、smtp、pop、ftp等服务的可用*和响应时间的统计、监控、*服务。
4、云服务监控:
提供对云服务的监控*服务,对用户开放自定义监控的服务,允许用户自定义个*化监控需求
*及联系人管理:提供对*规则,*联系人的统一、批量管理服务。支持多*方式:短信、邮件、旺旺、接口回调。
除了以上自带的安全*防护措施之外,用户也可以选购阿里云安全类产品,进一步加强云服务器的安全。
1、阿里云云盾(AntiDDos)
功能:防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻击等3到7层DDos攻
击。
2、安骑士(阿里云查、杀*软件)
功能:轻量级服务器安全运维管理产品。在服务器上运行Agent插件,正常状态下只占用1%的CPU、
10MB内存。可以自动识别服务器Web目录,对服务器的Web目录进行后门文件扫描,支持通用
Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑
系统账户、弱口令、注册表等。
3、云盾Web应用防火墙—WAF(Web Application Firewall)
功能:基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、Web服务器插件漏洞、*
上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击等。除了具有强大的Web
防御能力,还可以指定网站的专属防护,能轻松应对各类Web应用攻击。
1、服务器初始安全防护
安装服务器时,要选择绿色安全版的防护软件,以防有被*的可能*。对网站提供服务的服务器,软件防火墙的安全设置最高,防火墙只要开放服务器端口,其他的一律都关闭,你要访问网站时防火墙会提示您是否允许访问,在根据实际情况添加允许访问列表。这样至少给系统多一份安全。
2、修改服务器远程端口。
修改你的远程连接端口,例如 windows的 3389,Linux的 22端口。应用服务尽量不要对公网开放,尤其是中间件服务,除了 web服务所提供的 80,443端口之外都应该尽量不要对公网开放默认端口,例如 MySQL的 3306,Redis的 6379等等。
3、设置复杂密码。
一但服务器IP被扫描出来默认端口,非法*就会对服务器进行暴力,利用第三方字典生成的密码来尝试服务器密码,如果您的密码足够复杂,非法*就需要大量的时间来进行密码尝试,也许在密码未完成,服务器就已经进入保护模式,不允许登陆。
4、随时修补网站漏洞
如果网站出现漏洞时不及时处理,网站就会出现一系列的安全隐患,这使得服务器很容易受到病**,导致网络瘫痪,所以,平时要养成良好的习惯,时刻关注是否有新的需修补的漏洞。
5、多服务器保护
一个网站可以有多个服务器,网站被攻击时,那么我们就可以选择不一样的方式进行防范,针对不同的服务器,我们应该设置不同的管理,这样即使一个服务器被攻陷,其他的服务还可以正常使用。
6、利用好防火墙技术
现在防火墙发展已经很成熟了,防火墙可以选择安全*检验强的,检验的时间会较长,运行的过程会有很大负担。如果选择防护*低的,那么检验时间会比较短。我们在选择防护墙时,要根据网络服务器自身的特点选择合适的防火墙技术。
7、定时为数据进行备份。
定时为数据做好备份,即使服务器被,数据被破坏,或者系统出现故障崩溃,你只需要进行重装系统,还原数据即可,不用担心数据彻底丢失或损坏。
二、导致阿里云被暂停合作的漏洞***究竟是什么
新京报贝壳财经讯(记者罗亦丹)因发现安全漏洞后的处理问题,近日阿里云引发了一波舆论。
据媒体报道,11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了其所开发的组件存在安全漏洞。12月22日,因发现Apache Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。
12月23日,阿里云在官方公号表示,其一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助,“随后,该漏洞被外界证实为一个全球*的重大漏洞。阿里云因在早期未意识到该漏洞的严重*,未及时共享漏洞信息。”
“之前发现这样的漏洞都是通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长,我觉得漏洞的发现者,最开始也未必能评估到漏洞影响的范围这么大。所以严格来说,这个处理不算冤,但处罚其实也没有那么严格,一不罚钱,二不影响做业务。””某安全公司技术总监郑陆(化名)告诉贝壳财经记者。
漏洞影响有多大?
那么,如何理解Log4j2漏洞的严重程度呢?
安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”,奇安信描述称,Apache Log4j是 Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程,“Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。”
安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于j*a开发的应用平台都会受到影响。
“Apache Log4j RCE漏洞之所以能够引起安全圈的极大关注,不仅在于其易于利用,更在于它巨大的潜在危害*。当前几乎所有的技术巨头都在使用该开源组件,它所带来的危害就像多米诺骨牌一样,影响深远。”奇安信安全专家对贝壳财经记者表示。
“这个漏洞严重*在于两点,一是log4j作为j*a日志的基础组件使用相当广泛,Apache和90%以上的j*a应用受到影响。二是这个漏洞的利用入口非常多,几乎达到了(只要)是这个漏洞影响的范围,只要有输入的地方就受到影响。用户或者攻击者可以输入的地方比如登录用户名、查询信息、设备名称等等,以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵,网友“yuange1975”在微*发文称。
“简而言之,该漏洞算是这几年来最大的漏洞了。”郑陆表示。
在“yuange1975”看来,该漏洞出来后,因为影响太广泛,IT圈都在加班加点修补漏洞。不过,一些圈子里发文章为了说明这个漏洞的严重*,又有点用了过高评价这个漏洞的词语,“我不否认这个漏洞很严重,肯定是排名很靠前的漏洞,但是要说是有史以来最大的网络漏洞,就是说目前所有已经发现公布的漏洞里排第一,这显然有点夸大了。”
“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足,这个应用的范围以及漏洞触发路径,我相信一直到阿里云上报完漏洞,恐怕漏洞发现者都没完全明白这个漏洞的真正严重*,有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。
9月1日起施行新规专家:对于维护国家网络安全具有重大意义
据了解,业界的开源条例遵循的是《负责任的安全漏洞披露流程》,这份文件将漏洞披露分为5个阶段,依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商,是业内常见的程序漏洞披露的做法。
贝壳财经记者观察到,白帽*建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《财经天下》的报道,把漏洞报给原厂商而不是平台方,也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励,“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体,都会公开致谢。“对于安全研究人员而言,这种名声也会让他们非常在意。
不过,今年9月1日后,这一行业“常见程序”就要发生变化。
7月13日,工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,要求任何组织或者个人设立的网络产品安全漏洞收集平台,应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。
值得注意的是,《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。第七条第七款则表示,不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳财经记者采访时表示,《网络产品安全漏洞管理规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。
张卓表示,《规定》第十条指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。同时在第六条中指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为,有利于让白帽子在合法合规的条件下发挥更大的社会价值。
三、阿里云因未及时报告严重漏洞被处罚
阿里云因未及时报告严重漏洞被处罚
阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。
阿里云因未及时报告严重漏洞被处罚1
近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件*会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于J*a语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件*会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
阿里云因未及时报告严重漏洞被处罚2
12月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重*,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球*的重大漏洞。Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件*会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,33.3%的年收入增长主要受互联网、金融服务和零售行业的推动。
阿里云因未及时报告严重漏洞被处罚3
近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的'安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、微软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信微报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件*会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的安全意识、合规意识,在思想上、制度上都有所不足。阿里云的漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。