大家好，小晉來為大家解答以上問題，heart bleed，heartbleed很多人還不知道，現在讓我們一起來看看吧！

4月7日，OpenSSL官網宣布，安全公司Codenomicon的研究人員和谷歌安全團隊的Neel Mehta自主發現OpenSSL“heartbleed”存在一個安全漏洞(漏洞編號：CVE-2014-0160)。該漏洞出現在OpenSSL對TLS的心跳擴展(RFC6520)的實現代碼中。由于省略了邊界檢查，攻擊者可以從請求的存儲位置之外的內存中讀取高達64 KB的數據，而無需任何特權信息或身份驗證，這些數據可能包含證書私鑰、用戶名和密碼、聊天消息、電子郵件以及重要的業務文檔和通信等數據。

此次發現的漏洞是在2011年12月引入OpenSSL庫中的。2012年3月14日1.0.1正式版發布后，包含漏洞版本的庫被廣泛使用。受影響的版本是OpenSSL 1.0.1和1.0.2-beta，以及OpenSSL的早期版本(1.0.0和0.9.8等。)都沒有受到影響。

使用OpenSSL的用戶可以升級到OpenSSL 1.0.1g的最新版本來修復該漏洞。不能立即升級的用戶可以使用-dopensl _ no _ heartbeats開關重新編譯OpenSSL。1.0.2-beta版的漏洞將在beta2版中修復。

heartbleed?有什么壞處

2014年4月8日將被永遠記錄在互聯網的歷史上。

這一天，互聯網界發生了兩件大事：一是微軟正式宣布XP停服退役；第二，暴露了OpenSSL的大漏洞。

很多普通人更關心第一件事，因為這和自己有關。

但其實第二件事才是真正的大事。

有多少網站受到了該漏洞的影響？這個數字還在評估中，但展望未來，我們經常訪問支付寶、淘寶、微信微信官方賬號、YY之聲、陌陌、雅虎郵箱、網銀、門戶等網站，基本上都有問題。

在國外，受影響的網站不計其數，甚至著名的NASA也宣布用戶數據庫被泄露。

這個漏洞被曝光的黑客命名為“heartbleed”，意為“心臟出血”。3354代表最致命的內傷。

這是一個非常親密的表達。

如果用專業的話說，OpenSSL是一種安全協議，為網絡通信提供安全性和數據完整性。它通過開源的SSL協議實現了網絡通信的高強度加密。

也就是說，OpenSSL的存在是一個多用途、跨平臺的安全工具。因為它非常安全，所以被廣泛應用于各種網絡應用中。

但是現在，OpenSSL有了自己的漏洞，而且是非常高危的漏洞。通過利用這一漏洞，黑客可以輕松獲取用戶的cookie，甚至清除賬號和密碼。

這像什么？你背靠著墻和敵人戰斗，突然，墻塌了。

于是，一場瘋狂的比賽開始了。

我們開始對網站進行緊急預警、修復和升級，安全公司和白帽子們忙著測試漏洞的影響并進行擴展，而更多的黑客們則抓緊時間開始狂歡：

懂技術的人，把這個漏洞玩深了，用它做武器，對自己長期攻擊不了的網站發起攻擊；不懂技術的小黑客，就像大戰場邊緣勇敢的戰士，利用漏洞掠奪。

這是一個不眠之夜，除了一大批不知名的網友。

面對危機，網站策略不一，有的緊急升級OpenSSL；一些公司暫停了服務；有些服務還在，但是SSL加密已經暫停；當然，其他人都在睡覺.

希望他們早上起床后能保持輕松的心情。

其實就漏洞本身而言，現在黑客爭取的是時間。一旦各大網站修復完漏洞，這一波地震就可以算是過去了，大家自然會恢復正常。又到了網購和玩樂的時候了。

但值得注意的是，由于OpenSSL應用廣泛，相對于網站等表面應用，它也會在各種客戶端、VPN、WAF等領域帶來更多的隱藏風險，并且會持續一段時間。

對于整個互聯網行業來說，這一事件更大的意義在于讓大家回顧和反思：

當我們認為安全的一切突然變得不安全，我們將如何維持這個虛擬世界的存在和穩定？

如果這一事件能夠改變環境，讓因缺乏重視和商業輸血而長期處于弱勢狀態的中國網絡安全行業獲得新的活力，或許也算是塞翁失馬，焉知非福。

普通用戶如何應對Heartbleed漏洞？

4月9日消息，一個代號為“Heartbleed”(意為“心臟出血”)的重大安全漏洞日前被曝光。它允許攻擊者從服務器內存中讀取私人信息，包括用戶名、密碼和信用卡號。目前已經蔓延到大量互聯網公司。那么普通用戶如何保護自己免受攻擊呢？在咨詢了網絡安全專家后，博客網站CNET給出了以下建議：

1.不要登錄受影響網站的賬號——，除非你確定公司已經修復了這個漏洞。如果公司沒有通知你進度，你可以去問他們的客服團隊。

部分網站(包括雅虎和OKCupid)受到影響，但已解決全部或部分問題。如果你不放心，你可以在http://filippo.io/Heartbleed/.上檢查每個網站是否安全，如果它被標為紅色，暫時不要登錄。

很多人的第一反應是趕緊改密碼，但網絡安全專家的建議是等確認網站修復后再改。

2.一旦您收到網站安全補丁的確認，請立即

3. 不要不好意思聯系掌握你的數據的小企業以確保個人信息安全。雅虎和Imgur等知名公司當然知道這個問題，但是一些小企業可能還沒發現它，所以你要積極主動地維護個人信息安全。

4. 密切關注未來數日內的財務報告。因為攻擊者可以獲取服務器內存中的信用卡信息，所以要關注銀行報告中的陌生扣款。

但是，即便按照上述方法操作，網頁瀏覽活動也依然存在一定風險。據說Heartbleed甚至能影響追蹤網站用戶活動的瀏覽器Cookie，所以只訪問不登錄也有風險。

雅虎一度受到了影響，但該公司表示雅虎主頁、搜索、財經、體育、美食、科技、Flickr和Tumblr等主要產品已經“成功進行了恰當的更正”。不過雅虎的一位女發言人表示，雅虎依然在努力修復旗下的其他站點。這不是雅虎第一次出現安全問題——今年1月，雅虎曾經由于有人企圖攻擊第三方數據庫而不得不重設部分電子郵件用戶的密碼。

因為社交新聞Reddit而走紅的圖片分享網站Imgur表示“出于安全考慮已經作廢了Cookie等敏感數據，并且正在小心處理”，而約會網站OKCupid則表示“已經完全解決了問題”。

Heartbleed風波過后，一大問題是互聯網公司會否改變它們的安全措施。很多大型互聯網公司都已經轉向了PFS（完全正向保密）技術——它能讓密鑰的保存時間變得很短，是未來的一個發展方向。

本文到此結束，希望對大家有所幫助。