Bruce Schneier

　　Heartbleed(心臟出血)是OpenSSL中一個災難性的bug：

任何能上網的人都可以通過這個“心臟出血(Heartbleed)”bug讀取你的服務器的內存信息——只要你的系統是用這個有漏洞的OpenSSL軟件做安全保護的。它會泄露用來認證服務提供商和用來加密內容傳輸的密鑰，還會泄露用戶的用戶名和密碼，以及用戶正在使用的內容信息。黑客能利用這個漏洞竊聽你和服務器交流的信息，直接竊取你和服務器的數據，并把自己偽造成服務提供商或用戶。

　　基本上，利用”心臟出血(Heartbleed)”漏洞，一個黑客每次能從你的服務器上抓取64K的內存信息。這種入侵行為不會留下任何痕跡，而且可以多次反復隨機抓取不同的64K內存內容。這意味著內存中的任何東西——SLL私鑰，用戶密鑰，任何東西——都有被泄露的危險。事實上你必須假設它們全被泄露了。全部。

　　“災難性”這個詞用的很合適。如果災難等級劃分為1到10，這次是11。

　　數以萬計的網站都是受害者，包括我這個。在這里你可以測試你的服務器是否也在危險中。

　　這個bug已經有了補丁。在給你的服務器打了補丁后，你需要生成新的公鑰和私鑰，更新你的SSL證書，修改所有可能被泄露的密碼。

　　從可能性上講，每個人的密碼都有可能被多方黑客獲取。真正的問題是，這個bug是不是有人蓄意放入OpenSSL代碼里的？那他能在這2年里肆無忌憚的抓取任何信息。我猜測這是一次意外，但沒有證據。

　　英文原文：Heartbleed