Log4shell: Alibaba hätte Log4J-Lücke schneller an China melden müssen

Die chinesische Regierung wirft Alibaba aus einem Sicherheitsgremium, weil es die Log4j-Scherheitslücke nicht zeitnah an die Behörde gemeldet hat.

Artikel veröffentlicht am ,
Sicherheitslücken sollen zuerst bei der chinesischen Regierung gemeldet werden.
Sicherheitslücken sollen zuerst bei der chinesischen Regierung gemeldet werden. (Bild: Chickenonline/Pixabay)

Die chinesische Regierung straft die Alibaba Cloud für ihren Umgang mit der Log4j-Sicherheitslücke ab. Laut Medienberichten wurde dem Unternehmen die Mitgliedschaft in dem Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für sechs Monate entzogen.

Stellenmarkt
  1. UI Designer / Webentwickler (m/w/d) im Bereich Software Entwicklung
    ASCon Systems GmbH, Stuttgart, Mainz, München
  2. Produktdatenmanager (m/w/d)
    Zeitfracht GmbH, Stuttgart
Detailsuche

Dabei hatte die Apache Software Foundation Chen Zhaojun von Alibabas Cloud Security Team für die Entdeckung und Meldung der Log4j-Sicherheitslücke, die auch Log4Shell genannt wird, in ihren Sicherheitshinweisen genannt. Laut dem Onlinemagazin ZDnet kritisiert die chinesische Regierung, dass eine Meldung an das Ministerium nicht rechtzeitig erfolgt ist. Demnach hatte Alibaba am 24. November 2021 zwar Apache informiert, nicht aber das MIIT. Dieses soll erst Tage später von Dritten von der Sicherheitslücke erfahren haben.

Alibaba unterstütze daher die Bemühungen des Ministeriums zum Management von Bedrohungen der Netzwerksicherheit und Schwachstellen nicht wirksam, heißt es von Seiten der chinesischen Regierung. Nun wird Alibaba sechs Monate von einem Gremium des Ministeriums ausgeschlossen, in dem Threat-Intelligence-Informationen geteilt werden.

Sicherheitslücken innerhalb von zwei Tagen an die chinesische Regierung melden

Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz die Unternehmen, Sicherheitslücken an die chinesische Regierung zu melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt ZDnet. Laut der South China Morning Post ermuntere dies die Unternehmen, Sicherheitslücken zuerst an die Regierung zu melden.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
Weitere IT-Trainings

Allerdings haben Regierungen nicht nur oder immer ein Interesse an der schnellen Behebung einer Sicherheitslücke. Immerhin kann diese beispielsweise von Geheimdiensten genutzt werden. Selbst wenn eine Sicherheitslücke schnell behoben wird, bleibt der Regierung respektive dem Geheimdienst ein Zeitfenster zwischen Meldung der Sicherheitslücke und Veröffentlichung eines Patches, in dem diese aktiv ausgenutzt werden kann.

Ähnliches wurde auch bei der Proxylogon-Sicherheitslücke in Microsofts E-Mail-Server-Software Exchange kritisiert. Damals wurden Sicherheitsfirmen und staatliche Stellen vorab über die Sicherheitslücke informiert. Spekuliert wird, dass auch Geheimdienste wie die NSA auf diese Weise an Vorabinformationen kamen. Die Sicherheitslücke wurde noch vor der Veröffentlichung eines Patches massenhaft ausgenutzt.

Nachtrag vom 23. Dezember 2021, 13:30 Uhr

Ursprünglich hieß es im Artikel, dass Alibaba die Sicherheitslücke zuerst an chinesische Behörden hätte melden müssen. Die Information beruhte auf einem Übersetzungsfehler, den wir im Artikel nun korrigiert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


anonymous_bosch 25. Dez 2021 / Themenstart

Well played, China.

Vögelchen 25. Dez 2021 / Themenstart

Es gibt halt gute Gründe, die Lücke zuerst dem Hersteller zu melden und nicht...

ElMario 24. Dez 2021 / Themenstart

...hätten dann ja nicht soviel davon gehabt.

TodesBrote 24. Dez 2021 / Themenstart

Wer versteht was mit der Lücke angerichtet werden kann, der wird sicherlich nicht so...

anonymous_bosch 23. Dez 2021 / Themenstart

Ich versteh nicht ganz wo der Übersetzungsfehler sein soll... Alle anderen Medien...

Kommentieren



Aktuell auf der Startseite von Golem.de
Responsible Disclosure
Vom Finden und Melden von Sicherheitslücken

Im Auftrag eines ISP hat unser Autor mehrere Sicherheitslücken in einem Cisco-Router gefunden. Hier erklärt er, wie er vorgegangen ist.
Ein Erfahrungsbericht von Marco Wiorek

Responsible Disclosure: Vom Finden und Melden von Sicherheitslücken
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Eine E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Flugauto: Aircar soll von London nach Paris fliegen
    Flugauto
    Aircar soll von London nach Paris fliegen

    Mit einer neuen Zertifizierung darf das Flugauto Aircar in allen Easa-Ländern fliegen und in Serie gebaut werden.

  3. LaTeX: Schreibst du noch oder setzt du schon?
    LaTeX
    Schreibst du noch oder setzt du schon?

    LaTeX lohnt sich nicht für jeden, für manche dafür umso mehr. Warum die Text-Programmiersprache nach 40 Jahren noch so treue Fans hat.
    Eine Anleitung von Uwe Ziegenhagen

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Palit RTX 3080 12GB 1.539€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Edifier Aktivlautsprecher 119€ • 4 Blu-rays für 22€ [Werbung]
    •  /