据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。SSL(Secure Socket Layer)协议是一种为网络通信提供安全以及数据完整性的安全协议,该协议在传输层对网络进行加密。OPENSSL是实现SSL协议的一款开源软件,其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。

一、基本情况

此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。

二、影响范围

以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。

三、安全提示

针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。

素材来源:北京网络与信息安全信息通报中心

声明:本文来自首都网警,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。