OpenSSL缓冲区溢出漏洞预警（CVE-2021-3711）

2021-08-25

一、概要

近日，华为云关注到OpenSSL官方发布安全公告，披露在特定版本中存在两处缓冲区溢出漏洞（CVE-2021-3711、CVE-2021-3712）。其中CVE-2021-3711高危，远程攻击者通过发送特制的SM2内容，可能会改变应用程序行为或导致应用程序崩溃。

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。华为云提醒使用OpenSSL的用户及时安排自检并做好安全加固。

参考链接：https://www.openssl.org/news/secadv/20210824.txt

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

CVE-2021-3711：

OpenSSL <= 1.1.1k

CVE-2021-3712：

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

安全版本：

CVE-2021-3711：

OpenSSL >= 1.1.1l

CVE-2021-3712：

OpenSSL >= 1.1.1l

OpenSSL >= 1.0.2za

四、安全建议

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

https://www.openssl.org/source/

注：修复漏洞前请将资料备份，并进行充分测试。