心脏出血漏洞曝光后各大IT厂商纷纷加班加点点灯熬油开发漏洞补丁，例如VMware公司甚至取消复活节假期，连夜赶工计划在复活节（本月19日）一口气推出27项heartbleed补丁。包括思科和Juniper等爆出漏洞的大厂也都上线技术支持页面并紧锣密鼓地开发补丁。（编者按：网络设备的补丁开发周期相对较长）

以上厂商的态度值得肯定，但是广大企业用户也要警惕“补丁上的漏洞”。近日全球领先的CDN厂商Akamai就急于建功而“自摆乌龙”，安全专家发现Akamai为其客户提供的心脏止血用的SSL/TLS算法库补丁本身存在安全漏洞。

Akamai的首席信息安全官Andy Ellis前天在企业博客上羞愤地承认，Akamai向客户提供的用于防止OpenSSL私钥失窃的心脏出血漏洞补丁本身存在缺陷，客户不应当采用。

更糟糕的是，上周五Akamai将有缺陷的补丁提交给OpenSSL社区，用于开发心脏出血漏洞的永久补丁，并提供给超过5亿个存在OpenSSL漏洞的网站升级使用。Akamai的补丁采用了为RSA私钥建立安全区的方法，Akamai采用这种方法保护用户私钥已经超过十年时间，但遗憾的是，在安全专家的仔细审核下，Akamai提供的802行代码的补丁存在致命缺陷，安全专家Willem Pinckaers只花费了15分钟就发现了代码中的bug，Pinckaers愤怒地指责Akamai不应当向OpenSSL社区发送错误如此明显的“破补丁”。