Reuters Meldung: "Chinese regulators on Wednesday suspended an information-sharing partnership with Alibaba Cloud Computing, a subsidiary of e-commerce conglomerate Alibaba Group (9988.HK), over accusations it failed to promptly report and address a cybersecurity vulnerability, according to state-backed media reports."
-> Es wurde nicht das Cloud Geschäft suspendiert, sondern lediglich die "information-sharing partnership". Denn Alibaba hat die MIIT in IT Sicherheitsfragen beraten ("cybersecurity threat intelligence partner"). Diese Beratungsleistung wird jetzt für 6 Monate auf Eis gelegt.
Reuters Meldung: "Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging framework Apache Log4j2 to China's telecommunications regulator, according to 21st Century Business Herald, citing a recent notice by the Ministry of Industry and Information Technology (MIIT)." -> Hintergrund: Alibaba Cloud Security Team Engineer Chen Zhoujun hat die kritische Sicherheitslücke im Log4j weltweit als erster entdeckt und die Apache Foundation am 24. November per eMail darüber informiert. Apache hat einen Fix am 6. Dezember zur Verfügung gestellt. Chen hat die Öffentlichkeit am 9. Dezember informiert. Am 9. Dezember wurde auch die MIIT informiert.Die MIIT scheint über die Reihenfolge der Kommunikation verstimmt zu sein, weil die chinesische Behörde zuerst informiert werden wollte, und hat die Zusammenarbeit bzgl. der Sicherheitsberatung mit Ali Baba für 6 Monate ausgesetzt.
Ich finde, Alibaba hat genau richtig gehandelt und den Zero Day Exploit zuerst Apache gemeldet, damit sie die Lücke schnellstens schließen konnten. Und was manche Nachrichtenagenturen daraus machen, kann man jetzt gut beobachten... Hier der Artikel zu den Hintergründen: https://www.scmp.com/tech/big-tech/article/...s-support-alibaba-cloud |
Thread abonnieren
