Chiński regulator telekomunikacyjny zawiesza współpracę z Alibaba Cloud. Odkrywając krytyczną podatność w Log4j, mieli ją zgłosić do chińskiego rządu, a nie uderzać od razu do twórców biblioteki…

Wg różnych doniesień, pierwszym który zgłosił podatność log4shell do twórców biblioteki, był Chen Zhaojun pracujący w Alibaba Cloud.

Twórcy przygotowywali łatkę… i wszystko szło by dobrze, gdyby nie fakt, że podatność nie została jednocześnie zgłoszona do chińskiego rządu:

Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging framework Apache Log4j2 to China’s telecommunications regulator (…) In response, MIIT suspended a cooperative partnership with the cloud unit regarding cybersecurity threats and information-sharing platforms.”

Pociesza, że restrykcje nie są jakieś drakońskie (czasowe zawieszenie współpracy dotyczącej bezpieczeństwa oraz dzielenia się związanymi z tym informacjami). Tzn. nie są drakońskie oficjalnie, nieoficjalnie trudno stwierdzić co tak na prawdę grozi zarówno Alibaba Cloud jak i osobie, która zgłosiła lukę…

Przypominamy, że Chiny wprowadziły niedawno nowe prawo, dotyczące postępowania z podatnościami (w tym 0-dayami).

~Michał Sajdak