各系部、处室:
据国家网络与信息安全信息通报中心监测发现,OpenSSL存在拒绝服务高危漏洞。鉴于该漏洞影响范围大,潜在危害程度高,建议有业务系统且面向师(生)提供网络服务的相关部门,尽快联系业务系统厂家将OpenSSL升级至安全版本OpenSSL1.1.1k。
OpenSSL是一个开放源代码的软件库包,使用加密算法、证书等提供安全通信功能,目前广泛应用于互联网网页服务器。经分析研判,OpenSSL TLS服务器存在安全漏洞,在OpenSSL TLS服务器启用TLSv1.2和重新协商功能情况下,攻击者可从客户端发送恶意构造的ClientHello请求触发该漏洞,从而导致服务器拒绝服务。目前官方已确认并修复该漏洞,受影响的版本是OpenSSL 1.1.1-1.1.1j。
漏洞详情:
编号:CVE-2021-3449拒绝服务漏洞
该漏洞是由于NULL指针取消引用导致的拒绝服务(DOS)漏洞,仅影响OpenSSL服务器实例,而不影响客户端。受影响的服务器可能在收到未经验证的最终用户恶意请求时发生崩溃。
受影响版本:所有OpenSSL1.1.1版本。
解决方案:
1. 进行OpenSSL服务器版本的检查
2.升级OpenSSL的版本到OpenSSL1.1.1k
下载链接:
https://openssl.org/
各相关部门在确保安全的前提下及时堵塞漏洞,消除安全隐患,提高安全防范能力,发现业务系统遭攻击情况后及时处置并报告网络信息中心。
联系电话:89709938
网络信息中心
2021年3月29日
