2014年4月9日 OpenSSL是一個強大的安全套接字層密碼庫，Apache使用它加密HTTPS，OpenSSH使用它加密SSH。OpenSSL為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

越來越多的網(wǎng)站使用加密代碼來保護如用戶名、密碼和信用卡號等數(shù)據(jù)，這能夠防止黑客通過網(wǎng)絡(luò)盜取個人信息。

這種加密協(xié)議被稱為SSL(Secure Sockets Layer安全套接層)或TLS(Transport Layer Security Protocol安全傳輸層協(xié)議)。當一個網(wǎng)站使用這種安全協(xié)議，瀏覽器中的地址欄旁會出現(xiàn)掛鎖圖標。

編寫加密代碼十分復雜，所以很多網(wǎng)站使用一種開源的免費安全協(xié)議，即OpenSSL。

昨日，OpenSSL爆出其加密代碼中一種名為Heartbleed的嚴重安全漏洞(CVE ID:CVE-2014-0160)，黑客可以利用該漏洞從服務(wù)器內(nèi)存中竊取64KB數(shù)據(jù)。據(jù)谷歌和網(wǎng)絡(luò)安全公司Codenomicon的研究人員透露，該漏洞已經(jīng)存在存在兩年之久，三分之二的活躍網(wǎng)站均在使用這種存在缺陷的加密協(xié)議。

該 Heartbleed bug 可以讓互聯(lián)網(wǎng)的任何人讀取系統(tǒng)保護內(nèi)存，這種妥協(xié)密鑰用于識別服務(wù)提供者和加密流量,用戶名和密碼的和實際的內(nèi)容。該漏洞允許攻擊者竊聽通訊，并通過模擬服務(wù)提供者和用戶來直接從服務(wù)提供者盜取數(shù)據(jù)。

目前僅OpenSSL的1.0.1及1.0.2-beta版本受到影響，包括：1.0.1f及1.0.2-beta1版本。

由于“心臟出血”漏洞的廣泛性和隱蔽性，未來幾天可能還將會陸續(xù)有問題爆出。安恒信息建議廣大互聯(lián)網(wǎng)服務(wù)商盡快將OpenSSL升級至1.0。OpenSSL Project已經(jīng)為此發(fā)布了一個安全公告(secadv_20140407)以及相應(yīng)補丁:secadv_20140407：TLS heartbeat read overrun (CVE-2014-0160)