Ve velmi rozšířené knihovně OpenSSL, která se používá pro SSL/TLS komunikaci (šifrování a autentizaci), byla nalezena velmi vážná chyba, která umožňuje vzdálenému útočníkovi číst data z paměti procesu. Ten se tak může dostat i k soukromému klíči. Chyba je obsažena v implementaci rozšíření Heartbeat (RFC 6520), proto dostala název Heartbleed bug (chyba „krvácení srdce“).
Chyba spočívá v chybějící kontrole mezí a útočník se tak může dostat až k 64 KB paměti protistrany. Postiženy jsou verze 1.0.1 (až po 1.0.1f) a 1.0.2 (po 1.0.2-beta1). K odstranění hrozby útoku je potřeba aktualizovat na 1.0.1g (případně 1.0.2-beta2), kde už je chyba opravena. Kdo aktualizovat nemůže, má ještě možnost zkompilovat knihovnu s vypnutým rozšířením Heartbeat (-DOPENSSL_NO_HEARTBEATS
).
Žádoucí je také přegenerovat soukromé klíče a certifikáty (což znamená i nutnost nechat certifikáty podepsat certifikační autoritou, pokud se nepoužívají samopodepsané), staré certifikáty potom revokovat, aby je nemohl případný útočník zneužít k man-in-the-middle útoku.