OpenSSL缓冲区溢出漏洞预警（编号CVE-2021-3711）公告_云数据库 Redis 版(Redis)-阿里云帮助中心

近日，OpenSSL官方发布安全公告，披露在特定版本中存在缓冲区溢出漏洞（编号CVE-2021-3711），远程攻击者可通过发送特制的SM2内容，溢出缓冲区并在系统上执行其他代码或导致拒绝服务。

漏洞信息

该漏洞是OpenSSL在解密SM2时造成的缓冲区溢出漏洞，是由于SM2解密实现中的EVP_PKEY_decrypt()函数的边界检查不当所导致。更多信息，请参见阿里云漏洞库。

使用了SM2算法，且OpenSSL版本的版本低于或等于1.1.1k。

云数据库Redis的SSL加密功能基于OpenSSL来提供服务，OpenSSL已在新版本中修复了此漏洞，云数据库Redis已及时跟进并修复此漏洞，您需要将实例的小版本升级至最新以避免潜在风险。具体操作，请参见升级小版本。