【导语】

　　上期介绍了Bash破壳漏洞，本期为大家介绍影响力可与之相提并论的OpenSSL Heartbleed(心脏出血)漏洞。

　　【Heartbleed漏洞】

　　SSL(Secure Sockets Layer安全套接层)是利用浏览器进行加密的一种协议，目前被广泛应用于浏览器与服务器之间的身份认证及数据加密传输，在上网过程中，当浏览器地址栏出现“https://”而非“http://”时，则说明该网站采用了SSL进行加密。

　　OpenSSL是最著名的SSL开源软件，众多网银、在线支付、电商网站均采用了OpenSSL。2014年4月份，OpenSSL被爆出存在严重的漏洞，名字叫做Heartbleed(心脏出血)(CVE-2014-0160)。通过该漏洞，攻击者可以利用某个函数未做边界检查的缺陷，跟踪到最长达64KB的缓存内容，从而获得用户的账号、密码、密钥等敏感信息。

　　针对Heartbleed漏洞，可通过升级OpenSSL版本来避免，也可通过相应的安全设备进行防护。在该漏洞爆发后，迪普科技第一时间对全线产品进行测试和验证，确认所有产品并未采用有漏洞的OpenSSL版本，因此不受此漏洞影响。同时，迪普科技迅速发布了最新的特征库，通过各系列安全产品对此漏洞进行封堵，从而确保网络安全稳定运行。