Anzeige
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

Betreiber zahlreicher Webdienste und Cloudhoster haben es bislang offenbar versäumt, ihre Dienste gegen den TLS-Angriff Drown zu patchen. Dieser nutzt eine bekannte Attacke auf TLS aus dem Jahr 1998. Bei Entdeckung der Sicherheitslücke Anfang März 2016 waren rund ein Drittel aller Server anfällig.

Anzeige

Server sind verwundbar, wenn sie weiterhin SSLv2 zulassen. Dabei muss die Verbindung nicht einmal mit diesem Protokoll hergestellt werden, die alleinige Existenz von SSLv2 etwa als Fallback-Modus reicht aus. Der Einsatz des uralten Protokolls wurde mit dem RFC 6176 eigentlich verboten, doch offenbar halten sich viele Betreiber nicht daran.

Verwundbare Cloud-Dienste gingen nur um 5 Prozent zurück

Die Sicherheitsfirma Skyhigh Networks schreibt jetzt, sie hätten bei Veröffentlichung von Drown 653 verwundbare Cloud-Dienste gefunden. Diese Anzahl sei jedoch seitdem nur um 5,1 Prozent zurückgegangen. Nach der Veröffentlichung von Heartbleed habe sich die Rate verwundbarer Cloud-Dienste innerhalb einer Woche um rund 92,7 Prozent reduziert. Auch die Sicherheitsfirma Netskope schreibt, dass die Patchrate bei Software-as-a-Service-Anbietern deutlich geringer sei als noch bei Heartbleed.

Drown ist deutlich komplizierter auszunutzen als Heartbleed, auch die öffentliche Aufmerksamkeit für die Sicherheitslücke ist nicht so groß wie im vorletzten Jahr. Beides dürfte dazu beitragen, dass die Patch-Rate so niedrig ist.

Sebastian Schinzel, Professor an der Fachhochschule Münster und einer der Drown-Entdecker, zeigte sich im Gespräch mit Threatpost verwundert: "Drown ist eigentlich einfacher zu patchen als Heartbleed. Dort mussten die Systeme komplett heruntergefahren werden." Vermutlich werde ein Teil der Server noch länger verwundbar bleiben. "Heartbleed und Logjam sind nach wie vor da. Drown wird dem gleichen Pfad folgen. Lassen Sie uns annehmen, dass zurzeit etwa 33 Prozent der Server anfällig sind und in einem Monat nur noch 3 Prozent. Diese 3 Prozent werden bleiben, bis die Hardware stirbt." Mit den Zugriffen auf die Seite test.drownattack.com sei das Team aber generell zufrieden.


eye home zur Startseite
Vielfalt 11. Mär 2016

Wieso wird das hier nicht erwähnt?

der-dicky 11. Mär 2016

Not sure if good troll or wired user.

Kommentieren



Anzeige

Stellenmarkt
  1. NORD/LB Luxembourg S.A. Covered Bond Bank, Luxembourg-Findel (Luxemburg)
  2. dSPACE GmbH, Paderborn
  3. über HRM CONSULTING GmbH, Heidelberg
  4. Wincor Nixdorf International GmbH, Paderborn


Anzeige
Blu-ray-Angebote
  1. 149,99€
  2. (jeden Dienstag ist eine neue Folge verfügbar)
  3. 36,99€

Folgen Sie uns
       


  1. Axon 7

    ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

  2. Medienanstalten

    Analoge TV-Verbreitung bindet hohe Netzkapazitäten

  3. Vorstandard

    Nokia will bereits ein 5G-fähiges Netz haben

  4. Vielfliegerprogramm

    Hacker stehlen Millionen Air-India-Meilen

  5. Funknetz

    BVG bietet offenes WLAN auf vielen U-Bahnhöfen

  6. Curiosity

    Weitere Hinweise auf einst sauerstoffreiche Mars-Atmosphäre

  7. Helium

    Neues Gas aus Tansania

  8. Streaming

    Netflix arbeitet mit Partnern an einer Sprachsuche

  9. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  10. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

Prozessor: Den einen Core M gibt es nicht
Prozessor
Den einen Core M gibt es nicht
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

  1. Re: MS könnte so langsam beginnen für jede...

    StefanGrossmann | 05:37

  2. Re: Braucht man unbedingt für Whatsapp und Fratzbuch!

    Fantasy Hero | 05:36

  3. Re: "Die dunkle Seite der Wikipedia"...

    Pjörn | 05:00

  4. Re: So wird es auch mit VR und geschehen!

    motzerator | 04:51

  5. Re: Mit Virtual Reality kommt schon die nächste...

    motzerator | 04:50


  1. 19:19

  2. 19:06

  3. 18:25

  4. 18:17

  5. 17:03

  6. 16:53

  7. 16:44

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel