據國家網絡與信息安全信息通報中心監測發現,互聯網SSL協議實現組件OPENSSL部分版本存在重大安全隱患,可能導致信息洩露等風險。SSL(Secure Socket Layer)協議是一種為網絡通信提供安全以及數據完整性的安全協議,該協議在傳輸層對網絡進行加密。OPENSSL是實現SSL協議的一款開源軟件,其提供了多種密碼算法、常用密鑰以及數字證書封裝管理等功能。
一、基本情況
此次事件發現:一是眾多RSA數字證書密鑰存在被破解的可能性,二是部分低版本的OPENSSL組件存在內存洩露漏洞。
二、影響範圍
以上問題涉及電信、金融、能源、醫療等多個重要行業部門,以及部分高校、企業郵件系統和多款網絡設備。在通信數據被截獲的情況下,攻擊者可利用上述漏洞獲取用戶賬號口令、業務系統數據、郵件內容等敏感信息。
三、安全提示
針對該情況,請大家做好防範。一是將原有RSA數字證書替換為RSA2048國產數字證書。二是及時提示本部門、本行業、本轄區重點單位,排查OPENSSL組件使用情況,督促相關單位及時將OPENSSL升級至最新版本。三是加強網絡安全意識,開展隱患排查和安全加固,提高防範能力。
素材來源:北京網絡與信息安全信息通報中心
分享到:
閱讀更多 通遼網警 的文章
