各有关单位：

接上级单位通报，OpenSSL存在拒绝服务高危漏洞(CVE-2021-3449)、证书校验高危漏洞（CVE-2021-3450）。目前广泛应用于互联网网页服务器。经分析，OpenSSL TLS服务器在默认开启TLSv1.2重新协商功能情况下，攻击者可通过发送恶意构造请求，导致服务器拒绝服务；还可利用证书校验漏洞使用精心制作的证书进行中间人（MiTM）攻击并获取敏感信息。目前，官方已确认并修复以上漏洞，受影响的版本是OpenSSL 1.1.1h-1.1.1j。

鉴于以上漏洞影响范围大，潜在危害程度高，建议尽快将OpenSSL升级至安全版本OpenSSL 1.1.1k（https://openssl.org/）。

联系电话：85071139

信息化建设与管理中心

2021年4月1日