维基百科:优良条目/2015年2月27日

心脏出血漏洞，也简称为心血漏洞，是一个出现在加密库OpenSSL的程序错误，首次于2014年4月披露。该库广泛用于实现互联网的安全套接层（TLS）协议。只要使用的是存在缺陷的OpenSSL实例，无论是服务器还是客户端，都可能因此而受到攻击。此问题是因在实现TLS的心跳扩展时没有对输入进行适当验证（缺少边界检查）而导致的，因而漏洞的名称来源于“心跳”（heartbeat。漏洞被归为缓冲过度读取，即可以读取的数据比应该被允许读取的还多。心脏出血在通用漏洞披露（CVE）系统中的编号为CVE-2014-0160。加拿大网络事故响应中心发布安全公告，提醒系统管理员注意漏洞。OpenSSL于2014年4月7日，即漏洞公开披露的同一天，发布了修复后的版本。在其披露时，约有17%（大约五十万）通过认证机构认证的互联网安全网络服务器被认为容易受到攻击，导致服务器私钥和用户会话cookie及密码被盗。电子前哨基金会、Ars Technica和布鲁斯·施奈尔均认为心脏出血漏洞是“灾难性的”。福布斯网络安全专栏作家约瑟夫·斯坦伯格写道，“有些人认为，至少就其潜在影响而言，‘心脏出血’是自互联网允许商用以来所发现的最严重的漏洞。”>> 阅读全文