根据美国计算机紧急应变小组 (TA14-098A) 在 2014 年 4 月 8 日发布的文件，OpenSSL 的这个漏洞会让远程攻击者通过 heartbeat 扩展的错误内存处理方式将敏感数据完全暴露，其中可能包括用户验证凭据和密钥。

　　杨柏翰大学夏威夷分校 IT 基础结构系统和网络分析师 Neal Moss表示：“我们中间有很多人一看到 Heartbleed 漏洞的警告就立刻担心起来，只有我仍旧谈笑风生，因为我知道我们已经受到 Palo Alto Networks 安全平台的保护。”

　　Palo Alto Networks 网络安全高级总监 Raj Shah表示：“Heartbleed 的风险范围已经超出一些 Web 应用程序，如 Yahoo!、Google 和 Facebook 等。妥善处理形成攻击组织各种可能所涉及所有易受攻击的服务是一项艰巨的挑战。尽管如此，我们还是很有希望。因为 Palo Alto Networks 通过企业安全平台的新一代设计和发布的自动防护功能，防止我们客户因该漏洞遭到利用而受到攻击，因此我们在阻止 Heartbleed 方面独具优势。”

　　Palo Alto Networks 为其客户提供防止 Heartbleed 漏洞受到利用的防护，具体体现如下：

　　- 以创新的方式识别威胁 – 与其他安全产品不同，我们的平台在应用程序层对所有的流量进行解码，与使用的端口和协议(包括 SSL/TLS 隧道)无关。因此，我们能够分析协议(在此案例中为 SSL)以检测异常，而这种方式无法使用传统的网络安全设备来完成。

　　- 自动漏洞防护 – 从 2014 年 4 月 9 日开始，多种内容的更新信息已自动发送给客户。这些漏洞防护可检测并立即阻止漏洞遭到利用(内容更新 429 和 430，其中包括 IPS 漏洞签名 ID 36416、36417、36418 和 40039)。

　　- 固有的 PAN-OS功能 – 我们的核心操作系统 (PAN-OS) 不会受到 CVE-2014-0160 的影响，因为它并非使用 OpenSSL 库的易受攻击版本。

　　对于关注如何自我防护的其他非 Palo Alto Networks 客户，我们建议至少将 Web 服务器更新到从 2014 年 4 月 7 日 (1.0.1g) 开始提供的 OpenSSL 补丁版本，并且在补丁就位后立刻替换 SSL 私钥。

　　关于漏洞的更多信息

　　Heartbleed bug 与最新披露的 OpenSSL 的关键漏洞息息相关，它会影响运行 OpenSSL 1.0.1 到 1.0.1f 的服务器，估计“超过 17% 使用受信任的证书颁发机构所颁发证书的 SSL Web 服务器受到影响”。最可怕的是，此漏洞会导致运行启用 OpenSSL 应用程序受影响版本的任何服务器中的几乎所有内容遭到泄漏，包括内部服务。

　　要了解关于 Palo Alto Networks 阻止 Heartbleed 的更多信息，请访问：http://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-web-just-start/

　　责任编辑：余芯

　　更多内容请关注机房360，www.jifang360.com，中国绿色数据中心