Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Chiński regulator telekomunikacyjny zawiesza współpracę z Alibaba Cloud. Odkrywając krytyczną podatność w Log4j, mieli ją zgłosić do chińskiego rządu, a nie uderzać od razu do twórców biblioteki…

22 grudnia 2021, 21:16 | W biegu | komentarze 4

Wg różnych doniesień, pierwszym który zgłosił podatność log4shell do twórców biblioteki, był Chen Zhaojun pracujący w Alibaba Cloud.

Twórcy przygotowywali łatkę… i wszystko szło by dobrze, gdyby nie fakt, że podatność nie została jednocześnie zgłoszona do chińskiego rządu:

Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging framework Apache Log4j2 to China’s telecommunications regulator (…) In response, MIIT suspended a cooperative partnership with the cloud unit regarding cybersecurity threats and information-sharing platforms.”

Pociesza, że restrykcje nie są jakieś drakońskie (czasowe zawieszenie współpracy dotyczącej bezpieczeństwa oraz dzielenia się związanymi z tym informacjami). Tzn. nie są drakońskie oficjalnie, nieoficjalnie trudno stwierdzić co tak na prawdę grozi zarówno Alibaba Cloud jak i osobie, która zgłosiła lukę…

Przypominamy, że Chiny wprowadziły niedawno nowe prawo, dotyczące postępowania z podatnościami (w tym 0-dayami).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. antyk

    komuniści są czymś gorszym niż log4j

    Odpowiedz
  2. Filip

    Zabraklo troche info o tym, czym jest MIIT.

    Odpowiedz
  3. Elon musk

    Wg mnie używanie wg jako pierwszego „słowa” w „artykule” powinno być nielegalne.

    Odpowiedz
    • wk

      @Elon musk

      Wg mnie nie

      Odpowiedz

Odpowiedz