行業(yè)動態(tài)

首都網警發(fā)布預警通報:OPENSSL加密組件存在重大風險隱患

來源:聚銘網絡    發(fā)布時間:2019-12-01    瀏覽次數(shù):
 

信息來源:IT之家

11月30日消息 今日中午,首都網警發(fā)布網絡安全預警通報稱,據(jù)國家網絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn),互聯(lián)網SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患,可能導致信息泄露等風險。

以下為首都網警《關于OPENSSL加密組件存在重大風險隱患的預警通報》全文:

據(jù)國家網絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn),互聯(lián)網SSL協(xié)議實現(xiàn)組件OPENSSL部分版本存在重大安全隱患,可能導致信息泄露等風險。SSL(Secure Socket Layer)協(xié)議是一種為網絡通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議,該協(xié)議在傳輸層對網絡進行加密。OPENSSL是實現(xiàn)SSL協(xié)議的一款開源軟件,其提供了多種密碼算法、常用密鑰以及數(shù)字證書封裝管理等功能。

一、基本情況

此次事件發(fā)現(xiàn):一是眾多RSA數(shù)字證書密鑰存在被破解的可能性,二是部分低版本的OPENSSL組件存在內存泄露漏洞。

二、影響范圍

以上問題涉及電信、金融、能源、醫(yī)療等多個重要行業(yè)部門,以及部分高校、企業(yè)郵件系統(tǒng)和多款網絡設備。在通信數(shù)據(jù)被截獲的情況下,攻擊者可利用上述漏洞獲取用戶賬號口令、業(yè)務系統(tǒng)數(shù)據(jù)、郵件內容等敏感信息。

三、安全提示

針對該情況,請大家做好防范。一是將原有RSA數(shù)字證書替換為RSA2048國產數(shù)字證書。二是及時提示本部門、本行業(yè)、本轄區(qū)重點單位,排查OPENSSL組件使用情況,督促相關單位及時將OPENSSL升級至最新版本。三是加強網絡安全意識,開展隱患排查和安全加固,提高防范能力。

 
 

上一篇:Trickbot更新密碼竊取模塊

下一篇:2019年12月01日 聚銘安全速遞