日前，被曝出的OpenSSL“HeartBleed Bug”被認為是2014年度最嚴重的安全漏洞，OpenSSL在漏洞公布當天已發(fā)布了修復版本。相關網(wǎng)站和安全廠商對此都紛紛做出了反應。

漏洞被公布當天下午，大量網(wǎng)站已開始緊急修復OpenSSL高危漏洞，修復此漏洞普遍需要半個小時到一個小時時間，大型網(wǎng)站修復時間則更久。

Facebook、雅虎和谷歌發(fā)言人當天均對外表示，已經(jīng)給關鍵服務打上了補丁。阿里巴巴、騰訊等多家國內(nèi)網(wǎng)站也通過官微宣布已修復了漏洞。

騰訊電腦管家緊急聯(lián)合安全聯(lián)盟上線OpenSSL漏洞預警功能，凡是存在此嚴重漏洞風險的網(wǎng)站，均被騰訊電腦管家攔截，同時相關網(wǎng)站也將會在騰訊QQ聊天窗口中給予攔截。 對于受“心臟出血”漏洞影響的網(wǎng)站，安全聯(lián)盟在該相關專題發(fā)布網(wǎng)站安全解決方案：

1、 盡快使用專業(yè)級的安全防護工具抵御黑客入侵;
2、申請安全聯(lián)盟&電腦管家“雙V”認證，可以獲得專業(yè)的安全檢測和漏洞預警服務，解除網(wǎng)站風險提醒; 
3、 咨詢安全聯(lián)盟修復專家獲得修復支持(升級OpenSSL 1.0.1g，使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊)。

安全廠商也積極投身到這場漏洞應對大戰(zhàn)中來。

華為安全能力中心在第一時間獲取HeartBleed漏洞后24小時內(nèi)完成了技術分析并給出應對措施。針對漏洞的技術原理，華為安全產(chǎn)品快速給出應對解決方案：實時開發(fā)針對性的簽名，利用請求包的長度和次數(shù)做檢測，防止利用此漏洞做滲透攻擊。華為全系列安全產(chǎn)品已發(fā)布針對該漏洞的安全公告，并及時發(fā)布了該漏洞的簽名規(guī)則，升級特征庫更新安全能力。

Fortinet第一時間對漏洞進行研究和響應。Fortinet下屬FortiGuard全球網(wǎng)絡安全威脅與響應實驗室已經(jīng)完成對受影響的版本進行IPS簽名庫的升級，并且同步推送到部署在全球所有Fortinet設備上。雖然從漏洞爆發(fā)到發(fā)布官方正式補丁Fortinet用了一天的時間，但是Fortinet的IPS引擎仍然可以進行安全防護。對于很多安全威脅來說，虛擬補丁是很重要的應急機制，而且針對OpenSSL的攻擊，尤其是此次Heartbleed是有比較清晰的流量異常模式，對于大多數(shù)HTTPS網(wǎng)站來說，數(shù)據(jù)包長度為8，匹配時把最后那兩個長度字節(jié)拿掉比較即可，只需簡單修改規(guī)則后就可以進行攔截，雖然這樣會產(chǎn)生一定程度的誤報，但是作為漏洞修復的空檔期，是可以接受的。因此Fortinet的工程師們第一時間為客戶推送了使用IPS虛擬補丁來防范此次安全漏洞。截止到發(fā)稿,受此漏洞影響的部分FortiOS版本Fortinet均已發(fā)布了官方補丁，并通過全球FortiGuard網(wǎng)絡推送到終端用戶。

知道創(chuàng)宇公司旗下網(wǎng)絡空間搜索引擎“鐘馗之眼”(ZoomEye)的監(jiān)測數(shù)據(jù)顯示，當前國內(nèi)依然有超過20000個交易類網(wǎng)站存在“心臟出血”漏洞危害，安全聯(lián)盟呼吁所有網(wǎng)站站長及時行動起來，修復網(wǎng)站漏洞，以保證自身及網(wǎng)民的安全。 

文章標題：面對OpenSSL漏洞相關網(wǎng)站和安全廠商迅速反應
文章鏈接：http://uogjgqi.cn/article/dhdepeh.html