11月30日消息 今日中午，首都網(wǎng)警發(fā)布網(wǎng)絡(luò)安全預(yù)警通報(bào)稱，據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，互聯(lián)網(wǎng)SSL協(xié)議實(shí)現(xiàn)組件OPENSSL部分版本存在重大安全隱患，可能導(dǎo)致信息泄露等風(fēng)險(xiǎn)。

　　以下為首都網(wǎng)警《關(guān)于OPENSSL加密組件存在重大風(fēng)險(xiǎn)隱患的預(yù)警通報(bào)》全文：

　　據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，互聯(lián)網(wǎng)SSL協(xié)議實(shí)現(xiàn)組件OPENSSL部分版本存在重大安全隱患，可能導(dǎo)致信息泄露等風(fēng)險(xiǎn)。SSL(Secure Socket Layer)協(xié)議是一種為網(wǎng)絡(luò)通信提供安全以及數(shù)據(jù)完整性的安全協(xié)議，該協(xié)議在傳輸層對(duì)網(wǎng)絡(luò)進(jìn)行加密。OPENSSL是實(shí)現(xiàn)SSL協(xié)議的一款開(kāi)源軟件，其提供了多種密碼算法、常用密鑰以及數(shù)字證書(shū)封裝管理等功能。

　　一、基本情況

　　此次事件發(fā)現(xiàn)：一是眾多RSA數(shù)字證書(shū)密鑰存在被破解的可能性，二是部分低版本的OPENSSL組件存在內(nèi)存泄露漏洞。

　　二、影響范圍

　　以上問(wèn)題涉及電信、金融、能源、醫(yī)療等多個(gè)重要行業(yè)部門(mén)，以及部分高校、企業(yè)郵件系統(tǒng)和多款網(wǎng)絡(luò)設(shè)備。在通信數(shù)據(jù)被截獲的情況下，攻擊者可利用上述漏洞獲取用戶賬號(hào)口令、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、郵件內(nèi)容等敏感信息。

　　三、安全提示

　　針對(duì)該情況，請(qǐng)大家做好防范。一是將原有RSA數(shù)字證書(shū)替換為RSA2048國(guó)產(chǎn)數(shù)字證書(shū)。二是及時(shí)提示本部門(mén)、本行業(yè)、本轄區(qū)重點(diǎn)單位，排查OPENSSL組件使用情況，督促相關(guān)單位及時(shí)將OPENSSL升級(jí)至最新版本。三是加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，開(kāi)展隱患排查和安全加固，提高防范能力。