关于OpenSSL高危心脏出血漏洞对于网站来说，是一个非常严重的问题，这个漏洞可以使得攻击者能够从网站的内存当中读取最多64KB的数据，并且无需任何特权信息或者身份验证，就可以偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商用文档好通信等数据。今天大宝seo博客转载来自百度安全指数所发布的一篇关于这种漏洞的介绍，正文部分如下：

　　发现时间：2014年4月

　　漏洞等级：高危

　　漏洞原理

　　OpenSSL的代码中没有对读长度进行检查，攻击者可以利用这个缺陷，在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求，攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息：例如会话票证的密钥、TLS的会话密钥以及各类密码，攻击者就可以得到这些信息。

　　影响版本：OpenSSL 1.0.1-1.0.1f

　　漏洞影响

　　TLS协议有史以来遭遇的最严重的问题，也是TLS史上速度最快的漏洞修复。

　　修复方案

　　第一步：打补丁

　　升级OpenSSL到最新版本或重新编译OpenSSL 1.0.1，配置OpenSSL以删除对心跳协议的支持。

　　$ http://www.xiaokaiseo.com/config –DOPENSSL_NO_HEARTBEATS

　　$ make

　　第二步：泄漏信息清理

　　替换服务器的私钥，重新签发新证书并吊销旧证书；

　　如果使用了会话票证，替换会话票证的对称密钥；

　　服务器内存中其他密码的替换，例如用户密码，根据风险预测建议用户修改密码；例如数据库密码。