近日,OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞,该漏洞可被用于发起 DDoS 攻击。根据官方对该漏洞的描述,在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃,是因为不正确处理"signature_algorithms_cert" TLS 扩展而引起的空指针引用。
面对新型高危漏洞对云上业务的威胁,华为云企业主机安全支持检测并修复此漏洞,为客户提供强有力的安全防护。
一、漏洞编号&名称
OpenSSL高危漏洞(CVE-2020-1967)
二、漏洞影响范围
OpenSSL 1.1.1d
OpenSSL 1.1.1e
OpenSSL 1.1.1f
三、修复方法
官方建议受影响的用户尽快安装最新的漏洞补丁。
四、防护方法
华为云企业主机安全服务支持对该漏洞的便捷检测与修复,步骤如下:
1、 检测并查看漏洞详情,如下图所示,详细的操作步骤请参见查看漏洞详情。
2、 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。
除以上详细介绍OpenSSL新型漏洞,华为云主机安全同时也支持检测修复:Adobe Font Manager库远程代码执行漏洞(CVE-2020-1020/CVE-2020-0938)和Windows内核特权提升漏洞(CVE-2020-1027)。
作为身处在互联网发达大环境市场中的企业,企业上云已经成为一种趋势,而不管在哪个领域安全性问题都必将备受大家关注,如何才能减少安全风险,为云服务器带来全方位的保护?
华为云主机安全通过资产管理、漏洞管理、基线检查、入侵检测等功能,帮助企业更便捷地管理主机安全风险,事前预防、事中防御、事后检测,实时发现黑客入侵行为,降低云服务器90%以上安全风险的同时,也满足了等保合规的要求。目前已为大量云上用户提供企业主机安全服务,多行业全场景覆盖,支撑过万大型企业稳定运行。
华为云也将继续依托自身深入产业互联网实践所积累的技术,提供更多的主机安全能力。目前华为云主机安全可为客户提供4个版本的服务,满足客户不同需求的安全保障,包括主机安全基础版、企业版、旗舰版、网页防篡改。且华为云在2019年推出“普惠安全”,为客户提供多款免费安全产品,助力企业低成本构建云上安全体系,其中就包括免费60天时长的主机安全企业版。有需求的客户可直接进入华为云官网-华为云安全专场进行领取,您在使用华为云的过程中,如遇到任何安全相关的问题,都可随时联系我们,获取安全专家的帮助。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
