Secunia公司警告称，对OpenSSL Heartbleed漏洞的修复工作可能需要耗时数月

ZDNET安全频道 04月23日 国际消息： 根据一家业界领先的漏洞研究企业给出的意见，要将Heartbleed漏洞从其盘踞的计算机以及其它设备上彻底清除出去可能需要耗时数月。Secunia是在对大量产品进行检测并发现越来越多设备受到臭名昭著的OpenSSL安全漏洞的影响后得出这一评估警示的。

Heartbleed给Web服务器带来的安全影响最为显著，但同时也作用于路由器、其它网络设备乃至企业技术体系中的多种组件之上。

而将存在漏洞的OpenSSL库捆绑其中意味着受到Heartbleed影响的应用程序已经极为广泛，其中包括VPN软件、消息往来与VoIP应用等等。而且很大一部分智能手机（特别是采用Android 4.1版本的移动设备）同样身处威胁名单当中。

Secunia公司研究负责人Kasper Lindgaard在接受采访时指出，其它容易受到Heartbleed漏洞影响的项目还包括交换机与服务器设备。

Heartbleed遭到曝光后引发的大规模漏洞披露过程意味着“每一家厂商都在努力解决这个迫在眉睫的安全问题”，Lindgaard解释道。小型厂商往往只需要解决少量受到影响的产品，但IT巨头们则在应对过程中承受着巨大的压力与挑战。

信息安全领域在过去几年当中发生了巨大变化，旨在应对漏洞利用者与其它针对性开发活动的不断升温，而这些因素对于Heartbleed乃至其它严重安全漏洞的曝光无疑起到显著的负面影响，Lindgaard告诉我们。

“研究人员们开始思考‘我们还有多少时间可以浪费’，这种严峻的形势敦促他们由过去的被动防御转而采取如今的早期咨询态度，”他解释称。

Lindgaard对思科与甲骨文的表现赞赏有加（事实上甲骨文过去很少受到安全研究人士的肯定），这是因为两家企业以透明化方式公开了其应对Heartbleed漏洞的流程与进展。思科是在Heartbleed漏洞遭到披露的一周多之后才开始着手处理的，虽然反应不算敏锐、但进展却相当稳健。

“思科已经确定其旗下的约四十四款产品中存在这项漏洞，而其它约六十八款产品的具体情况仍处于调查当中，”Lindgaard在采访中表示。“另外根据目前的情况看，该公司只针对其中的四款产品提供修复补丁。”

Secunia公司当时曾经就Heartbleed漏洞向四十六家不同供应商发出过Heartbleed相关警示公告，其范围涵盖总计218款产品。但与思科不同的是，不少供应商都没有以坦率的态度公布自身处理Heartbleed问题的进度，反而选择了“暗箱操作”式的安全应对机制。

“大多数供应商都在努力对其受影响/未受影响的产品进行审查并在补丁发布方面取得了理想的成绩，但也有不少厂商采取遮遮掩掩的态度、只在下载页面甚至是密码保护页面中以寥寥数语提到相关情况，”Lindgaard解释道。“这种作法显然不值得提倡，缺乏开放态度的处理方式会让人弄不清楚Heartbleed漏洞的宏观影响范围;除此之外，人们很可能由于没有注意到这些隐藏或者半隐藏信息而无法正确评估自身业务环境中的安全风险。”

“这种处理方式对于供应商自身来说毫无好处，隐藏真实信息反而会增加其客户遭遇安全风险的可能性，毕竟恶意人士一定会以无差别方式尝试利用Heartbleed漏泄，”他补充称。

Secunia公司将Heartbleed定性为“中等危急”水平，或者按照其十分制评判标准来看处于九分位置。之所以没有得到最高等级评价，是因为Heartbleed不会引发远程恶意代码执行风险。“目前各大供应商都在推出修复补丁，不过整个处理周期绝不是数周时间就能完成的——也许需要几个月，”Lindgaard总结道。

“这项安全漏洞将在很长一段时间里长伴我们左右并持续产生影响，”他补充称。