2020年4月23日,OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞,该漏洞可被用于发起 DDoS 攻击。根据官方对该漏洞的描述,在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃,是因为不正确处理"signature_algorithms_cert" TLS 扩展而引起的空指针引用。
面对新型高危漏洞对云上业务的威胁,华为云企业主机安全支持检测并修复此漏洞,为客户提供强有力的安全防护。
一、漏洞编号&名称
OpenSSL高危漏洞(CVE-2020-1967)
二、漏洞影响范围
OpenSSL 1.1.1d
OpenSSL 1.1.1e
OpenSSL 1.1.1f
三、修复方法
官方建议受影响的用户尽快安装最新的漏洞补丁。
https://www.debian.org/security/2020/dsa-4661
https://security.gentoo.org/glsa/202004-10
四、防护方法
华为云企业主机安全服务支持对该漏洞的便捷检测与修复,步骤如下:
1、 检测并查看漏洞详情,如下图所示
2、 漏洞修复与验证,详细的操作步骤可参考华为云主机安全用户指南中的漏洞修复与验证文档。
除以上介绍的OpenSSL新型漏洞,华为云主机安全同时也支持检测修复:Adobe Font Manager库远程代码执行漏洞(CVE-2020-1020/CVE-2020-0938)和Windows内核特权提升漏洞(CVE-2020-1027)。
作为身处在互联网发达大环境市场中的企业,企业上云已经成为一种趋势,而不管在哪个领域安全性问题都必将备受大家关注,如何才能减少安全风险,为云服务器带来全方位的保护?
华为云主机安全通过资产管理、漏洞管理、基线检查、入侵检测等功能,帮助企业更便捷地管理主机安全风险,事前预防、事中防御、事后检测,实时发现黑客入侵行为,降低云服务器90%以上安全风险的同时,也满足了等保合规的要求。目前已为大量云上用户提供企业主机安全服务,多行业全场景覆盖,支撑过万大型企业稳定运行。
华为云也将继续依托自身深入产业互联网实践所积累的技术,提供更多的主机安全能力。目前华为云主机安全可为客户提供4个版本的服务,满足客户不同需求的安全保障,包括主机安全基础版、企业版、旗舰版、网页防篡改。且华为云在2019年推出“普惠安全”,为客户提供多款免费安全产品,助力企业低成本构建云上安全体系,其中就包括免费60天时长的主机安全企业版。有需求的客户可直接进入华为云官网云安全专场进行领取,您在使用华为云的过程中,如遇到任何安全相关的问题,都可随时联系我们,获取安全专家的帮助。
点击下方“了解更多”,了解华为云安全