安全协议OpenSSL被曝重大安全漏洞，这个漏洞使攻击者能够从内存中读取多达64KB的数据。该漏洞被命名为“心脏出血”，这足以说明其影响力之大，那么OpenSSL究竟为何物？我们又该怎样防御呢？

4月8日晚间，各大网站都在报道安全协议OpenSSL重大安全漏洞新闻。这个漏洞使攻击者能够从内存中读取多达64 KB的数据。该漏洞被命名为“心脏出血”，虽然64KB数据量并不大，但黑客可以重复利用该漏洞、多次窃取数据，并可能因此获得用户的加密密钥，解密敏感数据。那么OpenSSL究竟为何物，为何它的影响力如此之大？

OpenSSL是什么？

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。

此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后 的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存数据。

目前各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站都在使用。据悉，该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的。使用OpenSSL 1.0.1f的服务器将受影响，运维人员应该马上升级。此外，1.0.1以前的版本不受此影响，但是1.0.2-beta仍需修复。

修复建议

• 使用低版本SSL的网站，并尽快按如下方案修复该漏洞；
• 升级OpenSSL 1.0.1g；
• 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块；

截止到目前，大量网站都已修复OpenSSL高危漏洞。