CTI論壇（ctiforum）4月11日消息（記者 李文杰）：4月8日晚，國際著名安全協(xié)議OpenSSL爆出重大安全漏洞——"Heartbleed（心臟流血）"漏洞。通過該漏洞，黑客可輕易的獲取用戶、密碼等隱私信息、欺騙用戶訪問釣魚網(wǎng)站造成用戶的大量隱私數(shù)據(jù)被盜。

　　作為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，是業(yè)內(nèi)最為通用的加密協(xié)議之一，目前在各大網(wǎng)銀、電子商務(wù)網(wǎng)站、在線支付、在線郵箱服務(wù)等眾多互聯(lián)網(wǎng)服務(wù)里廣泛應(yīng)用。該協(xié)議如此廣泛的應(yīng)用也使得此次爆出的漏洞對整個互聯(lián)網(wǎng)用戶的日常業(yè)務(wù)操作造成了較大影響。

　　在OpenSSL協(xié)議中包含的heartbeat選項，讓SSL連接一端的計算機發(fā)出短信息來確認計算機仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。此次爆出的漏洞使黑客可發(fā)送偽裝的惡意heartbeat信息誘使連接另一端的計算機泄露信息，讀取內(nèi)存中64K大小的內(nèi)容，通過對這些內(nèi)容的模式匹配和整理，黑客可找到密鑰、密碼以及眾多個人信息。其中，加密密鑰的失竊將直接導(dǎo)致黑客可以偽裝服務(wù)端，誘使用戶泄露所有的賬號密碼和其他敏感信息，考慮到基于HTTPS的訪問往往在用戶眼中代表安全訪問，用戶很可能不加防備的將信用卡信息、個人隱私信息等重要信息發(fā)送給黑客，從而造成進一步的重大損失。

　　在獲悉該漏洞信息后，H3C迅速啟動緊急響應(yīng)機制，采取以下舉措：

　　1、針對旗下全系列產(chǎn)品進行測試驗證，以明確該漏洞對H3C自身產(chǎn)品（包括基于HTTPS管理登錄方式以及SSL VPN產(chǎn)品）所造成的影響：經(jīng)過嚴格測試驗證，H3C旗下所有產(chǎn)品均不受該漏洞影響，廣大用戶無需針對現(xiàn)網(wǎng)H3C產(chǎn)品進行改動。

　　2、安全攻防團隊立即針對該漏洞開發(fā)應(yīng)用層防護特征，并于4月9日即在公司官網(wǎng)IPS（入侵防御產(chǎn)品）特征庫專區(qū)發(fā)布特征升級版本，為H3C IPS用戶第一時間提供防護能力，特征庫更新版本號為：SEC-IPS-R1.2.276_EN。