打开微信扫一扫
各系部、处室:
据国家网络与信息安全信息通报中心监测发现, OpenSSL 存在拒绝服务高危漏洞。鉴于该漏洞影响范围大,潜在危害程度高, 建议有业务系统且面向师(生)提供网络服务的相关部门 ,尽快联系业务系统厂家将 OpenSSL 升级至安全版本 OpenSSL1.1.1k 。
OpenSSL 是一个开放源代码的软件库包,使用加密算法、证书等提供安全通信功能,目前广泛应用于互联网网页服务器。经分析研判, OpenSSL TLS 服务器存在安全漏洞,在 OpenSSL TLS 服务器启用 TLSv1.2 和重新协商功能情况下,攻击者可从客户端发送恶意构造的 ClientHello 请求触发该漏洞,从而导致服务器拒绝服务。目前官方已确认并修复该漏洞,受影响的版本是 OpenSSL 1.1.1-1.1.1j 。
漏洞详情:
编号: CVE-2021-3449 拒绝服务漏洞
该漏洞是由于 NULL 指针取消引用导致的拒绝服务( DOS )漏洞,仅影响 OpenSSL 服务器实例,而不影响客户端。受影响的服务器可能在收到未经验证的最终用户恶意请求时发生崩溃。
受影响版本:所有 OpenSSL1.1.1 版本。
解决方案:
1. 进行 OpenSSL 服务器版本的检查
2. 升级 OpenSSL 的版本到 OpenSSL1.1.1k
下载链接:
各相关部门在确保安全的前提下及时堵塞漏洞,消除安全隐患,提高安全防范能力,发现业务系统遭攻击情况后及时处置并报告网络信息中心。
联系电话: 89709938
网络信息中心
2021 年 3 月 29 日