一、概要

近日,关注到OpenSSL官方发布安全公告,披露在特定版本中存在两处缓冲区溢出漏洞(CVE-2021-3711、CVE-2021-3712)。其中CVE-2021-3711高危,远程攻击者通过发送特制的SM2内容,可能会改变应用程序行为或导致应用程序崩溃。

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。使用OpenSSL的用户及时安排自检并做好安全加固。

参考链接:https://www.openssl.org/news/secadv/20210824.txt

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

CVE-2021-3711:

OpenSSL <= 1.1.1k

CVE-2021-3712:

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

安全版本:

CVE-2021-3711:

OpenSSL >= 1.1.1l

CVE-2021-3712:

OpenSSL >= 1.1.1l

OpenSSL >= 1.0.2za

四、安全建议

目前官方已在高版本中修复了该漏洞,请受影响的用户升级至安全版本:

https://www.openssl.org/source/

注:修复漏洞前请将资料备份,并进行充分测试。