• IT-Karriere:
  • Services:

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

Artikel veröffentlicht am ,
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Betreiber zahlreicher Webdienste und Cloudhoster haben es bislang offenbar versäumt, ihre Dienste gegen den TLS-Angriff Drown zu patchen. Dieser nutzt eine bekannte Attacke auf TLS aus dem Jahr 1998. Bei Entdeckung der Sicherheitslücke Anfang März 2016 waren rund ein Drittel aller Server anfällig.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. TenneT TSO GmbH, Bayreuth

Server sind verwundbar, wenn sie weiterhin SSLv2 zulassen. Dabei muss die Verbindung nicht einmal mit diesem Protokoll hergestellt werden, die alleinige Existenz von SSLv2 etwa als Fallback-Modus reicht aus. Der Einsatz des uralten Protokolls wurde mit dem RFC 6176 eigentlich verboten, doch offenbar halten sich viele Betreiber nicht daran.

Verwundbare Cloud-Dienste gingen nur um 5 Prozent zurück

Die Sicherheitsfirma Skyhigh Networks schreibt jetzt, sie hätten bei Veröffentlichung von Drown 653 verwundbare Cloud-Dienste gefunden. Diese Anzahl sei jedoch seitdem nur um 5,1 Prozent zurückgegangen. Nach der Veröffentlichung von Heartbleed habe sich die Rate verwundbarer Cloud-Dienste innerhalb einer Woche um rund 92,7 Prozent reduziert. Auch die Sicherheitsfirma Netskope schreibt, dass die Patchrate bei Software-as-a-Service-Anbietern deutlich geringer sei als noch bei Heartbleed.

Drown ist deutlich komplizierter auszunutzen als Heartbleed, auch die öffentliche Aufmerksamkeit für die Sicherheitslücke ist nicht so groß wie im vorletzten Jahr. Beides dürfte dazu beitragen, dass die Patch-Rate so niedrig ist.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Sebastian Schinzel, Professor an der Fachhochschule Münster und einer der Drown-Entdecker, zeigte sich im Gespräch mit Threatpost verwundert: "Drown ist eigentlich einfacher zu patchen als Heartbleed. Dort mussten die Systeme komplett heruntergefahren werden." Vermutlich werde ein Teil der Server noch länger verwundbar bleiben. "Heartbleed und Logjam sind nach wie vor da. Drown wird dem gleichen Pfad folgen. Lassen Sie uns annehmen, dass zurzeit etwa 33 Prozent der Server anfällig sind und in einem Monat nur noch 3 Prozent. Diese 3 Prozent werden bleiben, bis die Hardware stirbt." Mit den Zugriffen auf die Seite test.drownattack.com sei das Team aber generell zufrieden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)

Vielfalt 11. Mär 2016

Wieso wird das hier nicht erwähnt?

der-dicky 11. Mär 2016

Not sure if good troll or wired user.


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /