国家网络和信息安全信息通报中心监测显示,互联网SSL协议实现组件OPENSSL的一些版本存在严重的安全风险,可能会导致信息泄露等风险。 安全套接字层(SL )协议是一种安全协议,提供在传输层加密网络的网络通信的安全性和数据完整性。 OPENSSL是实现SSL协议的开源软件,提供各种加密算法、公用密钥和数字证书的封装管理等功能。
一、基本情况
此次事件发现,一个是许多RSA数字证书密钥可能被解密,另一个是一些低版本的OPENSSL组件存在内存泄漏漏洞。
二、影响范围
这些问题涉及通信、金融、能源、医疗等许多重要行业部门,以及一些大学、企业邮件系统和多种网络设备。 通信数据被拦截时,攻击者可以利用上述漏洞获取用户账户密码、业务系统数据、邮件内容等机密信息。
三、安全提示
对于这种情况,请大家好好防止。 一个是用RSA2048国产数字证书替换原RSA数字证书。 二是及时提示本部门、本行业、本辖区重点机构,调查OPENSSL组件使用情况,督促相关机构尽快将OPENSSL升级为最新版本。 三是强化网络安全意识,做好危险性排查和安全性强化,提高防范能力。
(素材来源:北京网络和信息安全信息通报中心)