服务公告
OpenSSL缓冲区溢出漏洞预警(CVE-2021-3711)
2021-08-25
一、概要
近日,华为云关注到OpenSSL官方发布安全公告,披露在特定版本中存在两处缓冲区溢出漏洞(CVE-2021-3711、CVE-2021-3712)。其中CVE-2021-3711高危,远程攻击者通过发送特制的SM2内容,可能会改变应用程序行为或导致应用程序崩溃。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。华为云提醒使用OpenSSL的用户及时安排自检并做好安全加固。
参考链接:https://www.openssl.org/news/secadv/20210824.txt
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
CVE-2021-3711:
OpenSSL <= 1.1.1k
CVE-2021-3712:
OpenSSL <= 1.1.1k
OpenSSL <= 1.0.2y
安全版本:
CVE-2021-3711:
OpenSSL >= 1.1.1l
CVE-2021-3712:
OpenSSL >= 1.1.1l
OpenSSL >= 1.0.2za
四、安全建议
目前官方已在高版本中修复了该漏洞,请受影响的用户升级至安全版本:
https://www.openssl.org/source/
注:修复漏洞前请将资料备份,并进行充分测试。