昨晚(4月(yuè)9日(rì)），OpenSSL爆出2014Ω↔年(nián)度最嚴重的(de)安全漏洞HeartBleeε÷♣d Bug。OpenSSL是(shì)一(yī)個(gè)使用(yòng)非←★←✘常廣泛的(de)開(kāi)源加密庫，用(yòng×®$∞)來(lái)實現(xiàn)網絡通(tōng)信的(de)加密協議(β<εyì)，該協議(yì)在各大(dà)網銀(yín)、在線支付、電(‍£ diàn)商網站(zhàn)、門(mén)戶網‌¶ 站(zhàn)、電(diàn)子(zǐ)郵件(jiàn)等 ∞重要(yào)網站(zhàn)上(shàng)被廣泛使用(♣♥λyòng)，網站(zhàn)地(dì)址使用(yòng)https₩↑£：//開(kāi)頭的(de)就(jiù)是(shì)采用(yòn↓¥g)了(le)OpenSSL安全協議(yì)。π§

　　該漏洞利用(yòng)的(de)成本極低(dī)，黑(hēi)δ£ ←客可(kě)以很(hěn)輕易的(de)收集到(dào)包括用(y ←×αòng)戶賬戶密碼的(de)隐私信息。危害波及全球70%以上(shàng ∑σ)的(de)網站(zhàn)，無論用(yòng)戶電(diàn)腦(nǎo)≈♠¥®安全防護措施多(duō)麽周全，隻要(yào)網站★α ≈(zhàn)使用(yòng)了(le)存♣₩在該漏洞的(de)OpenSSL版本，用(yòng)≠π™戶登錄該網站(zhàn)時(shí)就(jiù)有(yǒ$♥÷u)被黑(hēi)客實時(shí)監控到(♠∞®πdào)賬号密碼的(de)風(fēng)險‍₹$。

　　華為(wèi)安全能(néng)力中心在第一(y≠∏‍ī)時(shí)間(jiān)獲取HeartBleed漏洞後24小(xiǎ$¶≈o)時(shí)內(nèi)就(jiù)完成了(le)技(≠>jì)術(shù)分(fēn)析并給出應對(duì)措施。華為(wèi↕≠÷•)安全能(néng)力中心分(fēn)析指出：HeartBleed漏洞主要(y>$σ¥ào)利用(yòng)TLS心跳(tiào)造成遠(yuǎn)₩≤φ程信息洩露漏洞，簡單來(lái)解釋就(jiù)是(shì)黑® (hēi)客給OpenSSL發送一(yī)個(gè)畸形的(de)心跳(t≥¶iào)請(qǐng)求，則會(huì)造成64K的(de↔‌∑×)內(nèi)存數(shù)據洩露，黑(hēi)客可(kě)以通">(tōng)過這(zhè)樣的(de)手段持續Dumπ★™ p很(hěn)多(duō)內(nèi)存出來(lái)，•δ☆盡管裡(lǐ)邊包含了(le)很(hěn)多(duō★↓)無用(yòng)和(hé)截斷的(de)信息，但(dàn)是(s £φ✘hì)可(kě)以收集到(dào)很(hěn)多(duō)$&隐私信息，比如(rú)私鑰，用(yòng)戶名，密碼∏≠，cookie等等。
　　針對(duì)漏洞的(de)技(jì)術(≤¥shù)原理(lǐ)，華為(wèi)安全産>↔♣✔品快(kuài)速給出應對(duì)解決方案：實時(shí)開(kāi™ε)發針對(duì)性的(de)簽名，利用(yònλδg)請(qǐng)求包的(de)長(cháng)度和(hé)次數≥±α (shù)做(zuò)檢測，防止利用(yòng↕≠★π)此漏洞做(zuò)滲透攻擊。

　　華為(wèi)安全專家(jiā)同時(shí)建議(yì)：

　　1.立即更新補丁。 OpenSSL P∑↑roject已經為(wèi)此發布了(le)一(yī)個(gè)安全公φ♥←​告（secadv_20140407）以及相(xià"∏€ng)應補丁，集成OpenSSL的(de)系統應該第一Ω∞(yī)時(shí)間(jiān)打上(shàng)該補丁；∑€δ∑

　　2.增強安全産品的(de)檢測能(néng)力 ♦。如(rú)果您的(de)企業(yè)已部署華為(wèi)安全¶☆☆ 設備，則此問(wèn)題現(xiàn)在已經得(de)到(dào)解決；←£

　　3.如(rú)果您是(shì)最終用(↔$​¶yòng)戶，建議(yì)您注意修改密碼，尤其是∏∞(shì)如(rú)果最近(jìn)登陸過存在該漏> ₽洞的(de)網站(zhàn)。

　　華為(wèi)全系列安全産品已發布針對(duì)該漏洞的σ'≠∞(de)安全公告，并及時(shí)發布了(le)該漏洞的(de)"≈©∑簽名規則，升級特征庫更新安全能(néng)力≤•×。華為(wèi)安全能(néng)力中心的(de)快(kuà→​​i)速響應，結合華為(wèi)安全設備實時¥™←(shí)在線升級，保障客戶第一(yī)時(shí)間(jiān™β★≈)免除漏洞危害。