在心脏滴血漏洞爆发一周年之际，根据安全机构Venafi实验室的一份最新的报告显示，在《福布斯》评选出的全球2000强企业面向公网的系统中，仍然有74%的系统会受到OpenSSL漏洞的影响。

与其他的一些漏洞不同，心脏滴血漏洞的修复可不是打个补丁那么简单。受影响的企业还需要收回旧的SSL证书，然后发行新的并且生成新的秘钥。但是不幸的是，Venafi发现绝大多数的企业并没有这样做。

下面是从报告中摘录的部分片段：

Venafi已经确定了大约580,000台属于全球前2000强企业和各大组织机构的主机没有完全修复心脏滴血漏洞。虽然这些主机大多数都已经打上了心脏滴血漏洞的补丁，但是因为各种原因，绝大多数都没有更换私钥和收回旧的证书。

鉴于Heartbleed漏洞可被用于窃取受害计算机内存中的私钥，所以绝大多数企业的修复方法显然不是完全的。

“解决此类安全问题的流程不再像过去那样简单而直观，”Venafi实验室安全战略与威胁情报事务副总裁Kevin Bocek在接受采访时指出。“大家不能单纯在安装了补丁之后就认为自己可以高枕无忧。”

他指出，OpenSSL漏洞自两年前开始就已经被恶意人士们实际利用，但直到去年四月才真正引起安全行业的警觉。在此期间，企业用户的密码内容很可能已经被攻击者们所掌握，此外加密密钥与证书数据也可能已经被用于伪装虚假的企业服务器。

Bocek表示，在不面向公众的服务器设备方面事态可能更加糟糕。而且在大多数情况下，处于企业防火墙内部的服务器设备还没有安装过足以对抗Heartbleed漏洞的补丁。

虽然心脏滴血漏洞已经过去了一周年，但是这枚重磅炸弹所造成的影响还远没有退去，企业和各大机构要做的还有很多。

(责任编辑：安博涛)