Abo
  • Services:

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

Artikel veröffentlicht am ,
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Betreiber zahlreicher Webdienste und Cloudhoster haben es bislang offenbar versäumt, ihre Dienste gegen den TLS-Angriff Drown zu patchen. Dieser nutzt eine bekannte Attacke auf TLS aus dem Jahr 1998. Bei Entdeckung der Sicherheitslücke Anfang März 2016 waren rund ein Drittel aller Server anfällig.

Stellenmarkt
  1. Dataport, Verschiedene Standorte
  2. GALERIA Kaufhof GmbH, Köln

Server sind verwundbar, wenn sie weiterhin SSLv2 zulassen. Dabei muss die Verbindung nicht einmal mit diesem Protokoll hergestellt werden, die alleinige Existenz von SSLv2 etwa als Fallback-Modus reicht aus. Der Einsatz des uralten Protokolls wurde mit dem RFC 6176 eigentlich verboten, doch offenbar halten sich viele Betreiber nicht daran.

Verwundbare Cloud-Dienste gingen nur um 5 Prozent zurück

Die Sicherheitsfirma Skyhigh Networks schreibt jetzt, sie hätten bei Veröffentlichung von Drown 653 verwundbare Cloud-Dienste gefunden. Diese Anzahl sei jedoch seitdem nur um 5,1 Prozent zurückgegangen. Nach der Veröffentlichung von Heartbleed habe sich die Rate verwundbarer Cloud-Dienste innerhalb einer Woche um rund 92,7 Prozent reduziert. Auch die Sicherheitsfirma Netskope schreibt, dass die Patchrate bei Software-as-a-Service-Anbietern deutlich geringer sei als noch bei Heartbleed.

Drown ist deutlich komplizierter auszunutzen als Heartbleed, auch die öffentliche Aufmerksamkeit für die Sicherheitslücke ist nicht so groß wie im vorletzten Jahr. Beides dürfte dazu beitragen, dass die Patch-Rate so niedrig ist.

Sebastian Schinzel, Professor an der Fachhochschule Münster und einer der Drown-Entdecker, zeigte sich im Gespräch mit Threatpost verwundert: "Drown ist eigentlich einfacher zu patchen als Heartbleed. Dort mussten die Systeme komplett heruntergefahren werden." Vermutlich werde ein Teil der Server noch länger verwundbar bleiben. "Heartbleed und Logjam sind nach wie vor da. Drown wird dem gleichen Pfad folgen. Lassen Sie uns annehmen, dass zurzeit etwa 33 Prozent der Server anfällig sind und in einem Monat nur noch 3 Prozent. Diese 3 Prozent werden bleiben, bis die Hardware stirbt." Mit den Zugriffen auf die Seite test.drownattack.com sei das Team aber generell zufrieden.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Vielfalt 11. Mär 2016

Wieso wird das hier nicht erwähnt?

der-dicky 11. Mär 2016

Not sure if good troll or wired user.


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhone Xs und iPhone Xs Max sind bierdicht
  3. Apple iPhones sollen Stiftunterstützung erhalten

Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Comcast Bezahlsender Sky für 38,8 Milliarden US-Dollar verkauft
  2. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
  3. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos

    •  /