各有关单位：

据国家网络与信息安全信息通报中心监测发现，OpenSSL存在拒绝服务高危漏洞(CVE-2021-3449)、证书校验高危漏洞（CVE-2021-3450）。OpenSSL是一个开放源代码的软件库包，使用加密算法、证书等提供安全通信功能，目前广泛应用于互联网网页服务器。经分析，OpenSSL TLS服务器在默认开启TLSv1.2重新协商功能情况下，攻击者可通过发送恶意构造请求，导致服务器拒绝服务；还可利用证书校验漏洞使用精心制作的证书进行中间人（MiTM）攻击并获取敏感信息。目前，官方已确认并修复以上漏洞，受影响的版本是OpenSSL 1.1.1h-1.1.1j。

鉴于以上漏洞影响范围大，潜在危害程度高，建议尽快将OpenSSL升级至安全版本OpenSSL 1.1.1k（https://openssl.org/）。

请各部门、各单位对所属的网站和信息系统，在确保安全稳定运行的前提下及时升级软件版本，修补相关漏洞，消除安全隐患，提高网络安全防范能力，发现遭受攻击后要及时处置并报告。

网络安全与信息化办公室

2021年3月31日