信息來源:IT之家
11月30日消息 今日中午,首都網(wǎng)警發(fā)布網(wǎng)絡(luò)安全預(yù)警通報稱,據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn),互聯(lián)網(wǎng)SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患,可能導(dǎo)致信息泄露等風(fēng)險。
以下為首都網(wǎng)警《關(guān)于OPENSSL加密組件存在重大風(fēng)險隱患的預(yù)警通報》全文:
據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn),互聯(lián)網(wǎng)SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患,可能導(dǎo)致信息泄露等風(fēng)險。SSL(Secure Socket Layer)協(xié)議是一種為網(wǎng)絡(luò)通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議,該協(xié)議在傳輸層對網(wǎng)絡(luò)進(jìn)行加密。OPENSSL是實現(xiàn)SSL協(xié)議的一款開源軟件,其提供了多種密碼算法、常用密鑰以及數(shù)字證書封裝管理等功能。
一、基本情況
此次事件發(fā)現(xiàn):一是眾多RSA數(shù)字證書密鑰存在被破解的可能性,二是部分低版本的OPENSSL組件存在內(nèi)存泄露漏洞。
二、影響范圍
以上問題涉及電信、金融、能源、醫(yī)療等多個重要行業(yè)部門,以及部分高校、企業(yè)郵件系統(tǒng)和多款網(wǎng)絡(luò)設(shè)備。在通信數(shù)據(jù)被截獲的情況下,攻擊者可利用上述漏洞獲取用戶賬號口令、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、郵件內(nèi)容等敏感信息。
三、安全提示
針對該情況,請大家做好防范。一是將原有RSA數(shù)字證書替換為RSA2048國產(chǎn)數(shù)字證書。二是及時提示本部門、本行業(yè)、本轄區(qū)重點單位,排查OPENSSL組件使用情況,督促相關(guān)單位及時將OPENSSL升級至最新版本。三是加強網(wǎng)絡(luò)安全意識,開展隱患排查和安全加固,提高防范能力。