组件介绍

OpenSSL是一个开源的密码学套件库包。包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。

漏洞简介

近日，深信服安全团队监测到一则OpenSSL官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个高危漏洞的信息。

漏洞描述

漏洞1 OpenSSL缓冲区溢出漏洞 CVE-2021-3711

简介：该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时，计算缓冲区大小存在错误，攻击者可利用该漏洞，构造恶意数据执行远程代码执行攻击，最终可控制程序的运行或造成程序崩溃等。

漏洞2 OpenSSL缓冲区溢出漏洞 CVE-2021-3712

简介：该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾，打印时可能发生读取缓冲区溢出，攻击者可利用该漏洞，构造恶意数据执行信息泄露攻击，最终可造成服务器敏感性信息泄露或程序崩溃等。

影响范围

OpenSSL是多数Linux发行版系统默认的密码套件库，由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地，此次曝出的漏洞有高危和中危的漏洞，涉及用户量大，漏洞影响力较大。

如何检测组件系统版本

执行命令

openssl version

显示的版本如属于上述的影响版本，则存在此漏洞。

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://www.openssl.org/source/