OpenSSL緩沖區(qū)溢出漏洞預(yù)警（CVE-2021-3711）

2021-08-25

一、概要

近日，華為云關(guān)注到OpenSSL官方發(fā)布安全公告，披露在特定版本中存在兩處緩沖區(qū)溢出漏洞（CVE-2021-3711、CVE-2021-3712）。其中CVE-2021-3711高危，遠(yuǎn)程攻擊者通過(guò)發(fā)送特制的SM2內(nèi)容，可能會(huì)改變應(yīng)用程序行為或?qū)е聭?yīng)用程序崩潰。

OpenSSL是一個(gè)開(kāi)放源代碼的軟件庫(kù)包，應(yīng)用程序可以使用這個(gè)包來(lái)進(jìn)行安全通信，避免竊聽(tīng)，同時(shí)確認(rèn)另一端連接者的身份。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁(yè)服務(wù)器上。華為云提醒使用OpenSSL的用戶(hù)及時(shí)安排自檢并做好安全加固。

參考鏈接：https://www.openssl.org/news/secadv/20210824.txt

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

CVE-2021-3711：

OpenSSL <= 1.1.1k

CVE-2021-3712：

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

安全版本：

CVE-2021-3711：

OpenSSL >= 1.1.1l

CVE-2021-3712：

OpenSSL >= 1.1.1l

OpenSSL >= 1.0.2za

四、安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)升級(jí)至安全版本：

https://www.openssl.org/source/

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。