信息來源:IT之家
11月30日消息 今日中午,首都網(wǎng)警發(fā)布網(wǎng)絡安全預警通報稱,據(jù)國家網(wǎng)絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)�����,互聯(lián)網(wǎng)SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患,可能導致信息泄露等風險�����。
以下為首都網(wǎng)警《關于OPENSSL加密組件存在重大風險隱患的預警通報》全文:
據(jù)國家網(wǎng)絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)���,互聯(lián)網(wǎng)SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患�����,可能導致信息泄露等風險。SSL(Secure Socket Layer)協(xié)議是一種為網(wǎng)絡通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議�,該協(xié)議在傳輸層對網(wǎng)絡進行加密。OPENSSL是實現(xiàn)SSL協(xié)議的一款開源軟件�,其提供了多種密碼算法、常用密鑰以及數(shù)字證書封裝管理等功能�。
一、基本情況
此次事件發(fā)現(xiàn):一是眾多RSA數(shù)字證書密鑰存在被破解的可能性����,二是部分低版本的OPENSSL組件存在內(nèi)存泄露漏洞���。
二、影響范圍
以上問題涉及電信�����、金融�、能源、醫(yī)療等多個重要行業(yè)部門�����,以及部分高校���、企業(yè)郵件系統(tǒng)和多款網(wǎng)絡設備����。在通信數(shù)據(jù)被截獲的情況下�,攻擊者可利用上述漏洞獲取用戶賬號口令、業(yè)務系統(tǒng)數(shù)據(jù)����、郵件內(nèi)容等敏感信息�����。
三���、安全提示
針對該情況,請大家做好防范�����。一是將原有RSA數(shù)字證書替換為RSA2048國產(chǎn)數(shù)字證書�����。二是及時提示本部門�、本行業(yè)、本轄區(qū)重點單位���,排查OPENSSL組件使用情況,督促相關單位及時將OPENSSL升級至最新版本�。三是加強網(wǎng)絡安全意識,開展隱患排查和安全加固���,提高防范能力���。
