阿里云服务器登录用户名,首次登录阿里云服务器

阿里云服务器登录用户名，首次登录阿里云服务器。12月23日，阿里云在官方微信账号上表示，其研发的一款；d工程师发现了Log4j2组件的一个安全bug，然后按照行业惯例通过邮件向软件开发者Apache开源社区报告了这个问题，请求帮助。“随后，该漏洞被外界确认为全球重大漏洞。阿里云前期没有意识到漏洞的严重性，没有及时分享漏洞信息。”

影响有多大？

那么，如何理解Log4j2漏洞的严重性呢？

安全公司Chianxin将Apache Log4j2漏洞的CERT风险等级评定为“高风险”。Chianxin描述说，Apache Log4j2是Apache的一个开源项目，通过定义每个日志信息的级别，可以更详细地控制日志生成过程。“log4j2中存在JNDI注入漏洞，当程序记录用户输入的数据时会触发该漏洞。成功利用此漏洞可以在目标服务器上执行任意代码。

域云防护的监测数据显示，截至12月10日中午12点，已发现利用该漏洞的攻击近万次。据了解，该漏洞影响范围广，利用方式简单。攻击者只需向目标输入一段代码，无需用户进行任何不必要的操作，即可触发漏洞，从而使攻击者远程控制受害者的服务器。超过90%的基于java的应用平台将受到影响。

“总之，这个漏洞是近年来最大的漏洞。”郑说。

在“元歌1975”看来，漏洞出来后，由于影响面广，IT圈都在加班加点修复漏洞。但是在某些圈子里，为了说明这个漏洞的严重性，使用了一些高估这个漏洞的词语。“我不否认这个漏洞很严重。肯定是一个排名非常靠前的漏洞，但是要说是史上最大的网络漏洞，也就是说目前已经发现并公布的所有漏洞排名第一，显然有点夸张。”

“恐怕是log4j漏洞发现者在发现这个漏洞的时候对它的了解不够。我相信，直到阿里云报告该漏洞之前，漏洞发现者并没有完全了解这个漏洞的真正严重性，它可能已经成为了Apache下一个常用插件的漏洞。”元歌1975说。

新规定将于9月1日实施。专家：维护国家网络安全意义重大。

据了解，行业的开源规定遵循《负责任的安全漏洞披露流程》。该文件将漏洞披露分为五个阶段，依次为发现、公告、确认、修复和发布。发现漏洞并报告给原厂商是业内通行的做法。

然而，今年9月1日之后，这个行业的“通用程序”将会改变。

7月13日，工信部、国家网信办、公安部发布《网络产品安全漏洞管理规定》，要求任何组织和个人设立的任何网络产品安全漏洞采集平台在两天内向工信部网络安全威胁与漏洞信息共享平台提交相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有条款要求bug发现人需要通知产品相关提供者。如《规定》第七条第一款所示，发现或者获悉所提供的网络产品存在安全漏洞后，应当立即采取措施并组织安全漏洞验证，评估安全漏洞的危害程度和影响范围；应立即通知相关产品供应商上游产品或组件中存在的安全漏洞。第七条第七款规定，不得向网络产品提供者以外的境外组织或者个人提供网络产品安全漏洞的未公开信息。

张卓说，《规定》第十条规定，任何组织或者个人设立的网络产品安全漏洞采集平台，应当向工业和信息化部备案。同时，第六条指出，鼓励有关组织和个人向网络产品提供者告知其产品的安全漏洞，还“鼓励网络产品提供者建立对所提供网络产品安全漏洞的奖励机制，对发现和告知所提供网络产品安全漏洞的组织或者个人给予奖励。”这两个规定规范了漏洞采集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的社会价值。