以为Heartbleed完蛋了吗？还没有——仍有成千上万的设备有漏洞

臭名昭著的HeartBleed安全漏洞一年多以前曝光，但到现在仍有20多万的互联网连接设备受其威胁。

上述事实来自Shodan。Shodan是一款搜索工具（除搜索外还能做其他事），用于寻找物联网（IoT）连接设备。创始人John·Matherly贴出他的公司制成的一张分布图，显示了全球许多存在该漏洞的设备的分布：

供参考: 互联网上仍有20多万设备存在Heartbleed漏洞

John Matherly 推特achillean

2015年9月15号，下午4:44

Heartbleed在2014年被发现时曾引起小小的恐慌。该漏洞使得攻击者可以利用OpenSSL软件库的弱点从目标设备中提取密码等敏感信息。

后来查明问题的来源是缺少边界检查，有心人可以重复地从服务器的内存中请求获取64KB的数据块，从而获得如加密密钥和口令等私密的东西，。

虽然网民争相更新自己的软件以解决该漏洞，但一年多过去了，成千上万的设备依然存在风险，究其原因，有些是因为人们不知道漏洞的事，另外一个原因很简单，有些设备根本无法打补丁，或是即便可以打补丁但实现非常困难。

20多万有漏洞的设备中，有57，272件在美国。德国位居第二，有21,060件 Heartbleed漏洞设备，中国有11300件。法国居第4位，有10,094件，其次是英国，有9,125件。

安全顾问Graham Cluley指，“显然，一些厂商和IT团队已经撒手不管这事了，他们没有及时更新存有漏洞的系统。”

“我敢打赌，挂在互联网上的设备总会有些有Heartbleed漏洞。”

Matherly指，管理员可以用他的Shogan搜索工具检查自己的连接设备，看看是不是有些设备仍然有Heartbleed漏洞。除了更新OpenSSL以外，专家建议管理员采取进一步的安全措施，如改变密钥并对会话Cookie进行转储处理等。