专家对Heartbleed漏洞带来的风险进行了测试，测试结果发现攻击者可以获取私有服务器证书密钥，这证明了这个开源漏洞所造成的威胁。

　　云计算[注]网站安全公司CloudFlare建立了一个有效的网站，并邀请攻击者执行攻击来获取密钥。该公司表示，两名攻击者花了9个小时来发现私钥。这两名攻击者发送了数百万恶意请求来利用Heartbleed漏洞，以获取密钥。

　　系统集成商Accuvant公司首席安全顾问Rob Dixon表示，如果攻击者持有私有数字证书密钥，他们就可以欺诈该网站，这是支持各种攻击的有用技术。

　　Dixon表示：“我们已经看到可能敏感的内存转储和信息，但我的理解是，这可能是完全随机的，或者只是内存堆栈的最后几个字节。”

　　不过，Dixon和其他安全专家认为Heartbleed是一个威胁的漏洞，系统管理员需要理解并解决。这个OpenSSL漏洞已经得到了广泛的关注，因为该漏洞给攻击者提供了高达64K的web服务器的工作内存。这种随机内存块中包含各种数据，并可能包含密码，安全专家呼吁互联网用户更改其用于流行网站和云计算服务的密码。

　　有漏洞的OpenSSL部署也被用于很多网络安全产品中，包括安全设备、路由器和交换机。这些产品的制造商正在发布更新来修复这个安全漏洞，但这个漏洞通常位于没有面向互联网的管理控制台中。设备也在内存中携带和保存着很少的信息。

　　Dixon表示：“从我执行渗透测试和漏洞评估的经验来看，我们经常可以看到在这种底层基础设施中，很多第三方补丁存在滞后性，而在这种情况下，这种滞后性可以帮助一些企业。”

　　安全专家更加担心私有服务器证书密钥，要求系统管理员部署该OpenSSL补丁，并撤销和重新发布服务器证书。这两个流行的开源web服务器(Nginx和Apache)都支持几十万网站和服务。

　　CloudFlare表示，很多公司已经收到了关于该漏洞的预警信息，让他们在公开发布前有足够的时间修复其漏洞。Akamai Technologies使用了自定义内存分配机制来减少私钥被曝光的可能性，但该公司表示，他们仍然在替换其客户SSL密钥作为预防措施。Akamai公司首席技术官Andy Ellis表示，该公司的自定义更新并不是百分百的万无一失。

　　“虽然我们相信，攻击的可能性微乎其微，并且，被暴露的证书数量也很小，我们不能完全排除这种可能性，”Ellis表示，“因此，我们会继续替换客户SSL密钥，尽可能降低风险。”

　　与此同时，美国国家安全局已经完全否认他们知道OpenSSL漏洞以及使用它来支持其监测活动。上周五，彭博社报道，两个不愿意透露姓名的人表示，NSA在过去两年中利用了这个漏洞。

　　根据美国国家情报总监办公室上周发表的声明表示：“关于NSA或其他任何政府部门在2014年知道所谓的Heartbleed漏洞的报道都是不正确的。在这个OpenSSL的漏洞公开之前，联邦政府并不知道这个漏洞的存在。”