Abo
  • Services:
Anzeige
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

Betreiber zahlreicher Webdienste und Cloudhoster haben es bislang offenbar versäumt, ihre Dienste gegen den TLS-Angriff Drown zu patchen. Dieser nutzt eine bekannte Attacke auf TLS aus dem Jahr 1998. Bei Entdeckung der Sicherheitslücke Anfang März 2016 waren rund ein Drittel aller Server anfällig.

Anzeige

Server sind verwundbar, wenn sie weiterhin SSLv2 zulassen. Dabei muss die Verbindung nicht einmal mit diesem Protokoll hergestellt werden, die alleinige Existenz von SSLv2 etwa als Fallback-Modus reicht aus. Der Einsatz des uralten Protokolls wurde mit dem RFC 6176 eigentlich verboten, doch offenbar halten sich viele Betreiber nicht daran.

Verwundbare Cloud-Dienste gingen nur um 5 Prozent zurück

Die Sicherheitsfirma Skyhigh Networks schreibt jetzt, sie hätten bei Veröffentlichung von Drown 653 verwundbare Cloud-Dienste gefunden. Diese Anzahl sei jedoch seitdem nur um 5,1 Prozent zurückgegangen. Nach der Veröffentlichung von Heartbleed habe sich die Rate verwundbarer Cloud-Dienste innerhalb einer Woche um rund 92,7 Prozent reduziert. Auch die Sicherheitsfirma Netskope schreibt, dass die Patchrate bei Software-as-a-Service-Anbietern deutlich geringer sei als noch bei Heartbleed.

Drown ist deutlich komplizierter auszunutzen als Heartbleed, auch die öffentliche Aufmerksamkeit für die Sicherheitslücke ist nicht so groß wie im vorletzten Jahr. Beides dürfte dazu beitragen, dass die Patch-Rate so niedrig ist.

Sebastian Schinzel, Professor an der Fachhochschule Münster und einer der Drown-Entdecker, zeigte sich im Gespräch mit Threatpost verwundert: "Drown ist eigentlich einfacher zu patchen als Heartbleed. Dort mussten die Systeme komplett heruntergefahren werden." Vermutlich werde ein Teil der Server noch länger verwundbar bleiben. "Heartbleed und Logjam sind nach wie vor da. Drown wird dem gleichen Pfad folgen. Lassen Sie uns annehmen, dass zurzeit etwa 33 Prozent der Server anfällig sind und in einem Monat nur noch 3 Prozent. Diese 3 Prozent werden bleiben, bis die Hardware stirbt." Mit den Zugriffen auf die Seite test.drownattack.com sei das Team aber generell zufrieden.


eye home zur Startseite
Vielfalt 11. Mär 2016

Wieso wird das hier nicht erwähnt?

der-dicky 11. Mär 2016

Not sure if good troll or wired user.



Anzeige

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Oberursel
  2. Ratbacher GmbH, Coburg
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Zitis Wer Sicherheitslücken findet, darf sie behalten
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Für mich nicht nachvollziehbar

    My1 | 00:48

  2. Re: Wahlkampf von Flüchtlingspolitik geprägt und...

    Niaxa | 00:45

  3. Genau das ist jetzt ein Problem

    cicero | 00:45

  4. Re: Was ihnen Golem unterschlägt

    NopeNopeNope | 00:40

  5. Re: Breitbandatlas & Afd hochburgen

    Niaxa | 00:39


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel