OpenSSL的日志显示[18]，在程序代码中引入Heartbleed的责任人是德国程序员Robin Seggelmann。2011年新年前夕，他向OpenSSL项目递交了一系列漏洞修正和新增功能，其中一个补丁包含着未对长度变量进行验证的漏洞。代码审查者Stephen Henson在审查代码时也没有注意到这个错误，这个bug随后就被包含在了新版OpenSSL中。 Google安全专家Neel Mehta于2014年4月3日率先提交了针对本漏洞的秘密报告。这个编号为CVE-2014-0160的漏洞随后被提名命名为"HeartBleed"（心脏出血），喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。[19]2014年4月7日，OpenSSL宣布OpenSSL 1.0.2-beta及1.0.1系列（除1.0.1g）中的TLS心跳扩展存在严重的内存处理错误。[20][21]由于未确认心跳包长度与实际载荷长度匹配，因此当其处理畸形的心跳包时就会将心跳包后的内存区块一同发送给对端，从而导致信息泄漏。[22]该漏洞可以被用于让每个心跳包显示至多64千字节的应用程序内存内容。[23]它的CVE号为CVE-2014-0160。[24]

该漏洞通过发送一个畸形的心跳请求至服务器，以引起服务器内存响应而引发。由于缺乏边界检查，OpenSSL不会验证心跳请求的有效性，从而可以带给攻击者不恰当的服务器响应。[25]

自2011年12月31日，漏洞就已经存在，而且随着OpenSSL版本1.0.1于2012年3月14日发布，有缺陷的代码被广泛使用。[26][27][28]

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课