【安全通告】OpenSSL多个漏洞风险公告(CVE-2021-3711、CVE-2021-3712)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,OpenSSL官方发布了多个漏洞风险通告,漏洞编号为CVE-2021-3711、CVE-2021-3712。可导致拒绝服务等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
此次更新包括以下两个漏洞:
CVE-2021-3711(高危):
该漏洞是OpenSSL在解密SM2时造成的缓冲区溢出漏洞。是由于 SM2 解密实现中的EVP_PKEY_decrypt()函数的边界检查不当所导致。 远程攻击者可以通过发送特制的SM2内容,溢出缓冲区并在系统上执行其他代码或导致拒绝服务。
CVE-2021-3712(中危):
该漏洞为处理ASN.1字符串时造成的缓冲区溢出漏洞。 是由于X509_aux_print()函数中处理ASN.1字符串时的缓冲区溢出缺陷所导致。攻击者可以利用该漏洞导致拒绝服务或可能导致私钥泄露内容等危害。
风险等级
高
漏洞风险
漏洞被利用可能导致拒绝服务等危害
影响版本
CVE-2021-3711:
OpenSSL <= 1.1.1k
CVE-2021-3712:
OpenSSL <= 1.1.1k
OpenSSL <= 1.0.2y
安全版本
CVE-2021-3711:
OpenSSL >= 1.1.1l
CVE-2021-3712:
OpenSSL >= 1.1.1l
OpenSSL >= 1.0.2za
修复建议
将OpenSSL升级到1.1.1l、1.0.2za或最新版本(注意OpenSSL 1.0.2官方将很快不再支持)
【备注】:建议您在升级前做好数据备份工作,避免出现意外
