昨晚，OpenSSL爆出2014年度最嚴(yán)重的安全漏洞HeartBleed Bug。OpenSSL是一個(gè)使用非常廣泛的開(kāi)源加密庫(kù)，用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)通信的加密協(xié)議，該協(xié)議在各大網(wǎng)銀、在線(xiàn)支付、電商網(wǎng)站、門(mén)戶(hù)網(wǎng)站、電子郵件等重要網(wǎng)站上被廣泛使用，網(wǎng)站地址使用https：//開(kāi)頭的就是采用了OpenSSL安全協(xié)議。

??該漏洞利用的成本極低，黑客可以很輕易的收集到包括用戶(hù)賬戶(hù)密碼的隱私信息。危害波及全球70%以上的網(wǎng)站，無(wú)論用戶(hù)電腦安全防護(hù)措施多么周全，只要網(wǎng)站使用了存在該漏洞的OpenSSL版本，用戶(hù)登錄該網(wǎng)站時(shí)就有被黑客實(shí)時(shí)監(jiān)控到賬號(hào)密碼的風(fēng)險(xiǎn)。??

華為安全能力中心在第一時(shí)間獲取HeartBleed漏洞后24小時(shí)內(nèi)就完成了技術(shù)分析并給出應(yīng)對(duì)措施。華為安全能力中心分析指出：HeartBleed漏洞主要利用TLS心跳造成遠(yuǎn)程信息泄露漏洞，簡(jiǎn)單來(lái)解釋就是黑客給OpenSSL發(fā)送一個(gè)畸形的心跳請(qǐng)求，則會(huì)造成64K的內(nèi)存數(shù)據(jù)泄露，黑客可以通過(guò)這樣的手段持續(xù)Dump很多內(nèi)存出來(lái)，盡管里邊包含了很多無(wú)用和截?cái)嗟男畔ⅲ强梢允占胶芏嚯[私信息，比如私鑰，用戶(hù)名，密碼，cookie等等。

?針對(duì)漏洞的技術(shù)原理，華為安全產(chǎn)品快速給出應(yīng)對(duì)解決方案：實(shí)時(shí)開(kāi)發(fā)針對(duì)性的簽名，利用請(qǐng)求包的長(zhǎng)度和次數(shù)做檢測(cè)，防止利用此漏洞做滲透攻擊。

?華為安全專(zhuān)家同時(shí)建議：?

1.立即更新補(bǔ)丁。 OpenSSL Project已經(jīng)為此發(fā)布了一個(gè)安全公告（secadv_20140407）以及相應(yīng)補(bǔ)丁，集成OpenSSL的系統(tǒng)應(yīng)該第一時(shí)間打上該補(bǔ)?。?/p>

?2.增強(qiáng)安全產(chǎn)品的檢測(cè)能力。如果您的企業(yè)已部署華為安全設(shè)備，則此問(wèn)題現(xiàn)在已經(jīng)得到解決；

?3.如果您是最終用戶(hù)，建議您注意修改密碼，尤其是如果最近登陸過(guò)存在該漏洞的網(wǎng)站。

?華為全系列安全產(chǎn)品已發(fā)布針對(duì)該漏洞的安全公告，并及時(shí)發(fā)布了該漏洞的簽名規(guī)則，升級(jí)特征庫(kù)更新安全能力。華為安全能力中心的快速響應(yīng)，結(jié)合華為安全設(shè)備實(shí)時(shí)在線(xiàn)升級(jí)，保障客戶(hù)第一時(shí)間免除漏洞危害。