維基百科:優良條目/2015年2月27日

心臟出血漏洞，也簡稱為心血漏洞，是一個出現在加密庫OpenSSL的程序錯誤，首次於2014年4月披露。該庫廣泛用於實現互聯網的安全套接層（TLS）協議。只要使用的是存在缺陷的OpenSSL實例，無論是伺服器還是客戶端，都可能因此而受到攻擊。此問題是因在實現TLS的心跳擴展時沒有對輸入進行適當驗證（缺少邊界檢查）而導致的，因而漏洞的名稱來源於「心跳」（heartbeat。漏洞被歸為緩衝過度讀取，即可以讀取的數據比應該被允許讀取的還多。心臟出血在通用漏洞披露（CVE）系統中的編號為CVE-2014-0160。加拿大網絡事故響應中心發佈安全公告，提醒系統管理員注意漏洞。OpenSSL於2014年4月7日，即漏洞公開披露的同一天，發佈了修復後的版本。在其披露時，約有17%（大約五十萬）通過認證機構認證的互聯網安全網絡伺服器被認為容易受到攻擊，導致伺服器私鑰和用戶會話cookie及密碼被盜。電子前哨基金會、Ars Technica和布魯斯·施奈爾均認為心臟出血漏洞是「災難性的」。福布斯網絡安全專欄作家約瑟夫·斯坦伯格寫道，「有些人認為，至少就其潛在影響而言，『心臟出血』是自互聯網允許商用以來所發現的最嚴重的漏洞。」>> 閱讀全文