近期工业和信息化部网络安全管理局通报称，近日阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，作为工信部网络安全威胁信息共享平台合作单位，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

经工信部研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究是否恢复其上述合作单位。

工信部对Log4j的漏洞通知

基于工信部此番处理，阿里云在官方微信上回应表示接受并改正：因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

Apache 软件基金会最早在11月24日拿到第一份来自阿里云的 Log4J 漏洞报告，这归功于阿里云安全团队的陈兆军，陈发现问题后遂按业界惯例以邮件方式告警。

漏洞详情：https://logging.apache.org/log4j/2.x/security.html

这表示阿里云团队确实在识别危险缺陷确实敏感且反应快捷，中国在安全漏洞监测方面可以将其与世界上最好的安全漏洞猎手相提并论。

美国思科的塔洛斯安全团队是在11月30日披露了Log4j 这一安全漏洞（地址：https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html）。

另一家安全机构 Talosand Cloudflare 报告称，他们在思科披露漏洞被披露之前检测到了该漏洞的漏洞利用，并在 12 月 1 日和 12 月 2 日给出修复方案。

阿里云对于这个漏洞的上报流程，是目前全球主流的，公认的漏洞上报处理流程。不过阿里云确实忽略了今年的7月12日国家出台的《网络产品安全漏洞管理规定》。

从技术角度看，阿里云亦可能有很多Log4j的系统或来自客户的云主机。

Azure应用服务缺陷暴露了大量源代码存储库

Wiz 安全研究团队在 Azure 应用服务中检测到一个不安全的默认行为，该行为暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 编写的客户应用程序的源代码。Wiz 团队将该漏洞命名为“NotLegit”，并指出这一漏洞自 2017 年 9 月以来就一直存在，很可能已经被利用。

Azure 应用程序服务主要功能包括：

1、可选择支持的编程语言与操作系统
2、使用FTP、SSH或从Git服务（如GitHub或专用Git存储库）提取源代码，在Azure托管服务器上部署应用程序源代码或构件
3、部署后，线上上的任何人都可以在 *.azurewebsites.net 域下访问该应用

该缺陷的核心是，当 Azure 应用服务用户将他们的 git 存储库上传到该服务时，该存储库位于可公开访问的目录/home/site/wwwroot目录中。在这些上传中包括 .git 文件夹，其中包含源代码和其他机密信息，这些都挂在网络上供所有人查看。

Wiz 的帖子指出，攻击者创建了一个易受攻击的 Azure 应用服务应用程序，并在四天内检测到多次尝试访问其 .git 文件夹，以此搜索源代码。

Azure 的此项漏洞还允许对 Microsoft Azure Cosmos DB 进行未经授权的读写访问的ChaosDB缺陷，允许在 Azure 服务器上执行未经授权的代码的“OMIGOD”系列缺陷。

微软向 Wiz 支付了 7,500 美元的奖金，以奖励其发现该漏洞，该漏洞于 9 月被正式披露。

韩国三星完成 PCIe 5.0 企业级固态硬盘之研发

周四韩国三星电子宣布，已完成其企业级固态硬盘 (SSD) PM1743 的开发，这是首款支持最新 PCIe 5.0 接口的产品。

这家韩国科技与电子巨头称，SSD 将采用2.5 英寸和 E3.S 外形，容量从 1.92TB 到 15.36TB，规模化量产将于 2022 年第一季度开始。

三星表示正在积极与英特尔等服务器与CPU芯片厂商合作。而英特尔计划在明年推出自身技术支撑 PCIe 5.0 的处理器。

三星PM1743由其第六代V-NAND和自主研发技术的PCIe 5.0控制器构成。

PCIe 5.0 接口提供 32GT/s的数据传输带宽，是 PCIe 4.0 的2倍。而数据中心和企业服务器对 SSD 的需求量尤其重要，这些公司需要它处理来自不断增加的数据和人工智能等场景需求。

三星研发团队介绍说，企业级SSD顺序读取速度为13,000MB/s，随机读取速度为2,500 K IOPS，比其前身PCIe 4.0分别提高了1.9倍和1.7倍。同时它提供了 6600MB/s 的顺序写入速度和250K IOPS的随机写入速度，分别比其前身 PCIe 4.0 提升了1.9倍与1.7倍。

三星电子称，PM1743 将设计为双端口的，当一个端口因出错而被关闭时，另一个端口也将继续服务，这将保持数据中心服务器的稳定性。

这家韩国科技巨头补充说，企业级 SSD 还通过信任根和安全处理器以及证书功能提供服务器级机密性与完整性。

传 iPhone 15 Pro 将移除 SIM 卡槽，完全 eSIM

BlogDoiPhone 网站报告称，内部消息人士表示，将于 2023 年发布的 iPhone 15 Pro 将完全移除 SIM 卡槽。这意味着 iPhone 15 Pro 将完全采用 eSIM 数字 SIM 卡。

在过去几年中，iPhone 和 iPad 正在向 eSIM 技术迁移，iPhone 13 和 iPhone 13 Pro 支持双 eSIM 卡，允许同时使用两个 eSIM。当然，目前的 iPhone 上还是有实体 SIM 卡槽。

此外，还有传言称苹果正在开发无接口 iPhone，这意味着未来的 iPhone 既没有接口，也没有 SIM 卡槽，一体化更彻底。当然，完全 eSIM  iPhone 可能只会在部分国家和市场推出，一切要看电信运营商如何应对。

作者：万能的大雄