Abo
  • IT-Karriere:

HTTPS: Weiterhin rund 200.000 Systeme für Heartbleed anfällig

Heartbleed ist nicht totzukriegen. Noch immer sind rund 200.000 Systeme anfällig. Das dürfte auch noch länger so bleiben.

Artikel veröffentlicht am ,
Heartbleed ist gekommen, um zu bleiben.
Heartbleed ist gekommen, um zu bleiben. (Bild: EFF)

Noch immer sind mehr als 200.000 im Internet verfügbare Systeme für die Heartbleed-Sicherheitslücke anfällig. Das zeigt ein Scan von Shodan-Chef John Matherly. Der größte Teil der verwundbaren Systeme entfällt auf 150.000 Server, die mit HTTPS verschlüsselte Verbindungen ausliefern.

Stellenmarkt
  1. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm
  2. über Kienbaum Consultants International GmbH, Stuttgart

Die meisten Systeme stehen in den USA, bei vielen handelt es sich offenbar um AWS-Mietserver bei Amazon. Auf dem zweiten Platz folgt Südkorea, der dortige Anbieter SK Broadband führt die Liste anfälliger Server deutlich an. Auch bei mehreren deutschen Hostern gibt es nach wie vor für Heartbleed anfällige Systeme, etwa bei Strato und 1&1. Insgesamt landet Deutschland, nach den USA, Südkorea und China, auf Platz vier.

Auch einige nicht gepatchte Produkte von Symantec, Synology und Splunk befinden sich nach wie vor unter den verwundbaren Produkten. Die Schuld dürfte hier bei den Nutzern liegen, die die Systeme trotz verfügbarer Patches nicht aktualisieren.

Dritter Geburtstag für Heartbleed

Die Heartbleed-Sicherheitslücke jährt sich im April zum dritten Mal. Der Fehler in der Heartbeat-Erweiterung für TLS in OpenSSL ermöglicht einem Angreifer unter bestimmten Voraussetzungen, den geheimen SSL-Schlüssel auszulesen und damit künftige Verbindungen mit einem Server zu kompromittieren.

Wegen der großen Aufmerksamkeit, die Heartbleed auch in Breitenmedien erreichen konnte, war die Patchrate im Vergleich zu anderen Sicherheitslücken schnell. Bei den aktuell noch betroffenen Systemen ist allerdings davon auszugehen, dass diese vermutlich nicht mehr gepatcht werden. Auch bei Bundesministerien lief die Umstellung der Systeme nicht reibungslos: Ausgerechnet die Webseite des Infrastrukturministeriums von Alexander Dobrindt, das auch für den Breitbandausbau zuständig ist, war noch verwundbar.



Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570

Mavy 24. Jan 2017

das ist so typisch, ich sehe es jeden Tag ... sicherheit ist immer nur dann (kurzzeitig...


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /