信息來(lái)源:IT之家
11月30日消息 今日中午��,首都網(wǎng)警發(fā)布網(wǎng)絡(luò)安全預(yù)警通報(bào)稱(chēng)�����,據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),互聯(lián)網(wǎng)SSL協(xié)議實(shí)現(xiàn)組件OPENSSL部分版本存在重大安全隱患����,可能導(dǎo)致信息泄露等風(fēng)險(xiǎn)�。
以下為首都網(wǎng)警《關(guān)于OPENSSL加密組件存在重大風(fēng)險(xiǎn)隱患的預(yù)警通報(bào)》全文:
據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)��,互聯(lián)網(wǎng)SSL協(xié)議實(shí)現(xiàn)組件OPENSSL部分版本存在重大安全隱患����,可能導(dǎo)致信息泄露等風(fēng)險(xiǎn)。SSL(Secure Socket Layer)協(xié)議是一種為網(wǎng)絡(luò)通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議��,該協(xié)議在傳輸層對(duì)網(wǎng)絡(luò)進(jìn)行加密�����。OPENSSL是實(shí)現(xiàn)SSL協(xié)議的一款開(kāi)源軟件���,其提供了多種密碼算法�����、常用密鑰以及數(shù)字證書(shū)封裝管理等功能�。
一�、基本情況
此次事件發(fā)現(xiàn):一是眾多RSA數(shù)字證書(shū)密鑰存在被破解的可能性,二是部分低版本的OPENSSL組件存在內(nèi)存泄露漏洞�����。
二、影響范圍
以上問(wèn)題涉及電信���、金融��、能源���、醫(yī)療等多個(gè)重要行業(yè)部門(mén),以及部分高校����、企業(yè)郵件系統(tǒng)和多款網(wǎng)絡(luò)設(shè)備。在通信數(shù)據(jù)被截獲的情況下�����,攻擊者可利用上述漏洞獲取用戶(hù)賬號(hào)口令���、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、郵件內(nèi)容等敏感信息�。
三、安全提示
針對(duì)該情況�����,請(qǐng)大家做好防范。一是將原有RSA數(shù)字證書(shū)替換為RSA2048國(guó)產(chǎn)數(shù)字證書(shū)����。二是及時(shí)提示本部門(mén)、本行業(yè)���、本轄區(qū)重點(diǎn)單位�����,排查OPENSSL組件使用情況���,督促相關(guān)單位及時(shí)將OPENSSL升級(jí)至最新版本。三是加強(qiáng)網(wǎng)絡(luò)安全意識(shí)��,開(kāi)展隱患排查和安全加固���,提高防范能力�����。
