各有关单位:
据国家网络与信息安全信息通报中心监测发现,OpenSSL存在拒绝服务高危漏洞(CVE-2021-3449)、证书校验高危漏洞(CVE-2021-3450)。OpenSSL是一个开放源代码的软件库包,使用加密算法、证书等提供安全通信功能,目前广泛应用于互联网网页服务器。经分析,OpenSSL TLS服务器在默认开启TLSv1.2重新协商功能情况下,攻击者可通过发送恶意构造请求,导致服务器拒绝服务;还可利用证书校验漏洞使用精心制作的证书进行中间人(MiTM)攻击并获取敏感信息。目前,官方已确认并修复以上漏洞,受影响的版本是OpenSSL 1.1.1h-1.1.1j。
鉴于以上漏洞影响范围大,潜在危害程度高,建议尽快将OpenSSL升级至安全版本OpenSSL 1.1.1k(https://openssl.org/)。
请各部门、各单位对所属的网站和信息系统,在确保安全稳定运行的前提下及时升级软件版本,修补相关漏洞,消除安全隐患,提高网络安全防范能力,发现遭受攻击后要及时处置并报告。
网络安全与信息化办公室
2021年3月31日