一、情况分析
据国家网络与信息安全信息通报中心监测发现,OpenSSL存在拒绝服务高危漏洞,漏洞编号CVE-2021-3449。OpenSSL是一个开放源代码的软件库包,使用加密算法、证书等提供安全通信功能,目前广泛应用于互联网网页服务器。经分析研判,OpenSSL TLS服务器存在安全漏洞,在OpenSSL TLS服务器启用TLSv1.2和重新协商功能情况下,攻击者可从客户端发送恶意构造的ClientHello请求触发该漏洞,从而导致服务器拒绝服务。目前官方已确认并修复该漏洞,受影响的版本是OpenSSL 1.1.1-1.1.1j。
二、漏洞详情
CVE-2021-3449拒绝服务漏洞
该漏洞是由于NULL指针取消引用导致的拒绝服务(DoS)漏洞,仅影响OpenSSL服务器实例,而不影响客户端。受影响的服务器可能在收到未经验证的最终用户恶意请求时发生崩溃。
三、影响范围
受影响的版本:此问题影响所有OpenSSL 1.1.1版本。
四、处置意见
1、进行OpenSSL服务器版本的检查
2、升级OpenSSL的版本到OpenSSL 1.1.1k
下载链接:
请广大师生在确保安全的前提下自查OpenSSL使用情况,升级至安全版本,及时堵塞漏洞,避免引发漏洞相关的网络安全事件。
