华为安全第一时间封堵2014重大安全漏洞HeartBleed Bug

 　　昨晚(4月9日），OpenSSL爆出2014年度最严重的安全漏洞HeartBleed Bug。OpenSSL是一个使用非常广泛的开源加密库，用来实现网络通信的加密协议，该协议在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上被广泛使用，网站地址使用https：//开头的就是采用了OpenSSL安全协议。

　　该漏洞利用的成本极低，黑客可以很轻易的收集到包括用户账户密码的隐私信息。危害波及全球70%以上的网站，无论用户电脑安全防护措施多么周全，只要网站使用了存在该漏洞的OpenSSL版本，用户登录该网站时就有被黑客实时监控到账号密码的风险。

　　华为安全能力中心在第一时间获取HeartBleed漏洞后24小时内就完成了技术分析并给出应对措施。华为安全能力中心分析指出：HeartBleed漏洞主要利用TLS心跳造成远程信息泄露漏洞，简单来解释就是黑客给OpenSSL发送一个畸形的心跳请求，则会造成64K的内存数据泄露，黑客可以通过这样的手段持续Dump很多内存出来，尽管里边包含了很多无用和截断的信息，但是可以收集到很多隐私信息，比如私钥，用户名，密码，cookie等等。
　　针对漏洞的技术原理，华为安全产品快速给出应对解决方案：实时开发针对性的签名，利用请求包的长度和次数做检测，防止利用此漏洞做渗透攻击。

　　华为安全专家同时建议：

　　1.立即更新补丁。 OpenSSL Project已经为此发布了一个安全公告（secadv_20140407）以及相应补丁，集成OpenSSL的系统应该第一时间打上该补丁；

　　2.增强安全产品的检测能力。如果您的企业已部署华为安全设备，则此问题现在已经得到解决；

　　3.如果您是最终用户，建议您注意修改密码，尤其是如果最近登陆过存在该漏洞的网站。

　　华为全系列安全产品已发布针对该漏洞的安全公告，并及时发布了该漏洞的签名规则，升级特征库更新安全能力。华为安全能力中心的快速响应，结合华为安全设备实时在线升级，保障客户第一时间免除漏洞危害。