各部门：

接上级通知，请按要求排查及修复以下三项安全事项：

一、有黑客利用Elasticsearch服务器漏洞实施数据窃取和勒索。请全面排查梳理Elasticsearch系统使用和受影响情况，及时修复漏洞，并备份主机内重要文件，开展信息系统自检自查和安全加固，如发生和发现勒索事件，请第一时间上报。

二、近期网安中心通报以下安全漏洞，请各部门排查部门信息系统，按照以下链接提示查找及修补漏洞。

1.PHP远程代码执行漏洞（CVE-2022-31626）风险提示

https://www.163.com/dy/article/HA29AJSF05381HBB.html

2. WordPress plugin HTML2WP 代码问题漏洞

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202206-2581

3. Adobe Acrobat和Adobe Reader 资源管理错误漏洞

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202207-1213

三、近期网安中心通报OpenSSL存在多个安全漏洞，请及时排查及修复相关漏洞。以下3个漏洞官方已发布最新版本修复，请尽快采取修补措施，官方链接如下：https://www.openssl.org/source/ 。

1. OpenSSL远程代码执行漏洞（CVE-2022-1292）。允许未授权执行相关代码，影响版本：OpenSSL 1.0.2-1.0.2zd、1.1.1-1.1.1n、OpenSSL 3.0.0-3.0.2。

2. OpenSSL证书认证错误漏洞（CVE-2022-1473）。攻击者可构造恶意数据进行证书欺骗，影响版本：OpenSSL 3.0.0-3.0.2。

3. OpenSSL加密错误漏洞（CVE-2022-1434）。由于RC4-MD5密码套件错误，使得攻击者执行中间人攻击可控制双方通信，影响版本：OpenSSL 3.0.0-3.0.2。

信息中心  

2022年8月4日